スポンサーリンク

iPhoneで迷惑メールを開くだけでウイルス感染するって本当? 【ゼロデイ攻撃とアップデート】

質問

ヤフーメールの迷惑メールフォルダにメールが入っていました。iPhoneで開いてみると、楽天を騙ってクレジットカード情報を入力させようとするものでした。
ふと、迷惑メールを開くだけでウイルス感染してしまうか不安になりました。
今更ながら開かず、削除すればよかったと後悔してます。

「迷惑メールを開いただけで、コンピュータウイルスに感染する」と聞くと、メールを開くのも怖くなってしまいますよね。

しかし、逆にそういう不安につけこむ攻撃の方が多いです。

「開いただけでウイルスにかかる」とはどういうことなのか、少し具体的に考えてみましょう。

ポイント
  • 細工されたデータを読み込んで、アプリが一時停止することはある。
  • しかし、悪条件がいくつも重ならないと「メールを開くだけでウイルス感染する」被害に遭うことは少ない。
  • 逆に「ウイルス感染した!」というメッセージには嘘が多いので、慌てて操作しないことが大事。
  • まずは定期的なシステムの更新が大事。

かんたんにコンピュータ ウイルスに感染してしまいそうに感じますよね。

具体的に事例を見てみると、セキュリティの仕組みが防いでいることに気づきます。

スポンサーリンク

迷惑メールを開いてしまったけれど大丈夫?

なんとなく不審なメールは、怖いですよね。

確かに、迷惑メールを開かないに越したことはありません。
ただ、現在は 個人で利用する範囲では、「メールを開くだけでウイルス感染する」というのは稀なんです。

2種類の「オオカミ」の侵入方法

不正な侵入には、2つのタイプがあります。

弱い部分を力でこじ開ける「3びきのこぶた」と、
騙して開けさせる「7ひきのこやぎ」です。

セキュリティを突破する2つのアプローチ
セキュリティを突破する2つのアプローチ

インターネットでも同じです。

これには名前がついていて、「ゼロデイ攻撃」と「フィッシング詐欺」といいます。

  • ゼロデイ攻撃
    アプリの不具合を悪用して、不正なプログラムを実行する。
  • フィッシング詐欺
    偽情報を表示して、個人情報を入力させる。

以前は簡単にウイルスに感染した(マクロ)

「メールを開いただけで ウイルスに感染することもあるから、注意しなさい」って聞いたことがありますー。

インターネットが普及していった2000年代には、パソコンもメールソフトも セキュリティより便利さを重視して、設計されていました。

それが、自動制御の仕組みです。

多くの人が利用する outlook express には、メールを開くとプログラムを実行する「マクロ」という仕組みがありました。本来は「メールを受信したら、自動的にカレンダーに予定を追加する」などの用途が想定されていましたが、不正にも利用されてしまいます。一度実行すると「なんでもできてしまった」からです。

最近では便利さよりもセキュリティを重視するようになりました。メールアプリが直接操作できる範囲は限定されるようになっています。アプリごとに権限を決められているので、以前に比べて 安全性は格段に進歩しています。

スマートフォンはパソコンのあとに作られたので、この反省を踏まえて、細かく権限を分けて設計されています。

「Windows XPがサポート終了」になったり、たびたびパソコンでもスマートフォンでも、大きな更新がありますよね。これは、システムを根っこから改修しているのです。

今のスマホは、「わらのおうち」から「レンガのおうち」になっているのです。

更新プログラムでどう修正されている?

もちろん、これで万全というわけではありません。人間が設計するものなので、「抜け穴」ができてしまいます。

しかし、犯罪者にとっても、最新のシステムの弱点を利用するのはかなり困難です。開発者よりもシステムに詳しくないと弱点を見つけることはできません。

不正なコードメールアプリが起動できなくなるケース(2018年11月)

例えば、すでに解決された不具合ですが、iPhoneでも「不正なコードを含むメールを受信すると、メールアプリが起動できなくなる」という事例をみてみましょう。

脆弱性の影響を受けると、メールアプリを開こうとしても即座に終了してしまい、起動することができません

iPhoneやiPadのメールアプリが動かなくなる恐れ。利用者は最新版iOSへの更新を(JVN#96551318)2018年11月05日

これは、電子署名に関する不具合で、電子署名に不正なコードが含まれると、メールアプリが起動できなくなってしまうものです。

いわばアプリの「紙詰まり」のような現象です。

メール受信処理に不具合があったケース(2020年4月)

2020年4月には、もっと深刻な不具合もありました。

iOS標準のメール機能に、ユーザーがクリックせずともリモートでコードが実行されてしまう深刻な脆弱性が存在 (…)

iOS 12で悪用された場合、メールアプリが一時的に速度低下し、成功/失敗に関わらず突然クラッシュしたりする。(…)

iOS 13.4.5 betaではこの脆弱性が修正されていることがわかっており、配布まではOutlookやGmailといったほかのアプリケーションを利用することで回避できるとしている。(…)

Appleによると、このバグはiPhoneおよびiPadのセキュリティを回避するのに十分ではなく、ユーザーに直接的なリスクを与えるものではないという。

iOSのメール機能に深刻な脆弱性。ゼロクリックでリモートコード実行可能(2020年4月23日)

こちらは、メールアプリの受信処理の不具合を悪用した攻撃でした。

細工されたメールを受信しただけで、メールアプリが不調になったり、悪用されてしまう可能性がありました。ただ、Appleによれば、実際には被害につながる前に修正されたそうです。

脆弱性を悪用されること、被害が発生することは別なんですね。何重にもセキュリティがあります。

このような不具合を利用した攻撃は、特定のアプリの利用者にしか効きません。しかも、まだメールアプリを誤動作(クラッシュ)させただけです。

スマホを誤動作させるまでは無いわけではありません。しかし、スマートフォンの個人情報まではたどり着くには、さらに いくつもの脆弱性を組み合わせないといけません。

ゼロデイ攻撃が「少ない」といえる理由

ゼロデイ攻撃(zero-day attack)」は、セキュリティの不具合が対処される前に、悪用するものです。ですので、防ぐことが難しいです。

しかし、脆弱性は明らかになると、更新によって塞がれます。複雑な処理の中の単純な確認漏れが原因であることが多いからです。

変な話ですが、「ゼロデイ攻撃」は、いつでも誰にでもできるわけではありません。脆弱性には攻撃できる期間と対象が限れています。

  • 期間:システム更新で修正されるまで
  • 対象:そのアプリの利用端末だけ

犯罪者には、このような弱点を隠し持っておいて、「とっておきの相手」、つまり、情報や資金の集中する大企業を狙って悪用する傾向があります。

システム会社がきちんとセキュリティ更新がしてくれているので、ゼロデイ攻撃は少ないのです。

フィッシング詐欺が多い理由

それに対して、偽の情報を表示をして、パスワードを入力させたり、偽ウイルス除去アプリをインストールさせたりする方法は、よく見られます。

セキュリティをよくわからずに利用している人はまだまだ多く、本人にセキュリティを解除させる方が簡単だからです。

「1000人に一人でも引っかかればよい」、という考え方で、迷惑メールとしてたくさん送信されています。

どんな厳重な金庫でも、本人は鍵を持っています。本人も開けられないようなセキュリティは作れないため、この人間が騙されるという弱点は常にあります。

「メールを表示しただけでウイルスにかかる」という表示は多い

詐欺のメールやサイトでは、コンピュータウイルスにかかっていないのに「コンピュータウイルスにかかったので、今すぐウイルス除去ソフトをインストールしなさい」といったメッセージを表示して脅します。

「メールを表示しただけでウイルスにかかる」という不安を悪用しているわけです。

ここで 何もしなければ、被害はありません。しかし、慌てて 指示通り “ウイルス除去ソフト(偽物)” をインストールすると、実際にウイルスにかかってしまいます。写真やデータを削除されてしまったり、勝手にSMSを利用されてしまったりするのです。

フィッシング詐欺対策としては、不審なメールの指示に従わない。
ゼロデイ攻撃対策としては、定期的にシステムを更新する。

コンピュータウイルスは心配ですが、スマートフォンのセキュリティは、日々 メンテナンスされています。

特に安全を重視するメール設定

セキュリティを少しでも強化したい場合は、メールの機能を制限することもできます。

  • メール内の画像を読み込まない
  • メール・インターネットのスクリプトを実行しない
iPhoneで画像やスクリプトを読み込まない設定にする
iPhoneで画像やスクリプトを読み込まない設定にする

HTMLメールの画像を表示しない

HTMLメールは、インターネットのウェブページのように表示させるメール形式です。画像やボタンを含めることができます。

しかし、画像の中には不正データが仕込まれている場合もあり、表示しようとするとメールアプリが停止してしまうことがあります。

被害者のスマートフォンを故障させることを目的とする愉快犯もいます。ただ、利益目的ではないのであまり多くはありません。

そこまで気にしないでもよいと思います。

もし気になる場合は、iPhoneでは、「設定」アプリの「メール」から、「サーバー上の画像を読み込む」を オフ にすることができます。

JavaScriptをオフにする

JavaScript は、ブラウザを動かすプロラミング言語です。ウェブページでアプリのように動作させるのに広く利用されています。

ブラウザの制限があるので「なんでもできる」わけではありませんが、システムの脆弱性が問題になりやすい機能です。脆弱性と組み合わせて、勝手にソフトがインストールされてしまう例もあります。もし、これらの動作が不安な場合は、設定でオフにできます。

「設定」アプリの「Safari」の「詳細」から、「JavaScript」を オフ にできます。

Javascriptの脆弱性は、頻繁に改修されているので、こちらもそこまで気にしないでもよいと思います。

とはいえ、オフにしなくても大丈夫

この2つの設定って、オフにしないとダメですか?

インターネットで違法な情報を探したり、海外サービスを頻繁に利用したり、ということが多くなければ、わざわざ オフ にする必要はないです。

オンのままでも、ウイルスがインストールされる際には、必ず「確認メッセージ」が表示されます。
慎重に操作すれば、間違ってインストールすることはないと思いますよ。

ウェブサービスからのメールを表示できなくなってしまうこともあるので、痛し痒しなんです。

↑ 備えあれば憂いなし。

タイトルとURLをコピーしました