【大阪 / 横浜 / 徳島】インフラ / サーバーサイドエンジニア募集中!

【大阪 / 横浜 / 徳島】インフラ / サーバーサイドエンジニア募集中!

【導入実績 500社以上】AWS 構築・運用保守・監視サービス

【導入実績 500社以上】AWS 構築・運用保守・監視サービス

【CentOS 後継】AlmaLinux OS サーバー構築・移行サービス

【CentOS 後継】AlmaLinux OS サーバー構築・移行サービス

【WordPress 専用】クラウドサーバー『ウェブスピード』

【WordPress 専用】クラウドサーバー『ウェブスピード』

【格安】Webサイト セキュリティ自動診断「クイックスキャナー」

【格安】Webサイト セキュリティ自動診断「クイックスキャナー」

【予約システム開発】EDISONE カスタマイズ開発サービス

【予約システム開発】EDISONE カスタマイズ開発サービス

【100URLの登録が0円】Webサイト監視サービス『Appmill』

【100URLの登録が0円】Webサイト監視サービス『Appmill』

【200ヶ国以上に対応】グローバル eSIM「ビヨンドSIM」

【200ヶ国以上に対応】グローバル eSIM「ビヨンドSIM」

【中国への旅行・出張・駐在なら】中国SIMサービス「チョコSIM」

【中国への旅行・出張・駐在なら】中国SIMサービス「チョコSIM」

【グローバル専用サービス】北米・中国でも、ビヨンドのMSP

【グローバル専用サービス】北米・中国でも、ビヨンドのMSP

【YouTube】ビヨンド公式チャンネル「びよまるチャンネル」

【YouTube】ビヨンド公式チャンネル「びよまるチャンネル」

【無視しちゃ】ちょっと前のiphoneに見る、「脆弱性」の怖さ【いけない】

システム部の山田です。
このところ、Linux関連の脆弱性がわんさか発表されて
僕の所属してるサーバーチームも大忙しになっております。
Apache、MySQL、glibc、opennssl...
今回は皆さんに関係ないようで実はめっちゃ関係あるこの「脆弱性」のお話です。
スマホやパソコンをよく使う人、必見です。

脆弱性とは???

脆弱性。なんか難しい言葉ですね。
「〇〇における脆弱性」なんて言えば技術的で難しい印象を受けますが、
要はコンピュータを動かすソフトウェアにおいて、セキュリティ上の「欠陥」のことを言います。

で、皆さんがお使いのスマホであれPCであれ、
最近流行りのスマート家電なんてものも含めて
複雑な電子機器には何らかの「ソフトウェア」が入っています。

その「ソフトウェア」は基本的に人間がつくるものですから
当然バグや設計ミスといった想定外の「欠陥」が存在し得ります。

だからメーカーはこの「欠陥」に気付いたとき
修正用の「ソフトウェア」を提供しているんですね。
よく「Windowsアップデート」や「iOSアップデート」なんて通知が来て、
中を見ると「XXXに関する脆弱性の対応」とか書いてあるやつです。

00-top_m
こういうの

ただ、結構多くの人が「めんどくさい」とか「よくわからない」とかでこの通知を無視しちゃってるんじゃないでしょうか。
それ、ダメです。

脆弱むかしばなし

これはほんの数年前、まだiPhone4が発売された頃のことなんですが
この「iPhone4」を動かしていた「iOS4.3.3」というOSにめちゃくちゃ危険な「脆弱性」がありました。

基本的にiPhoneは僕たち一般ユーザーが操作できる部分をガッチリ制限して、
変なものが入らないようにセキュリティを確保しています。

ただiPhoneには昔から、いわゆる「脱獄」と呼ばれる行為が存在して、
一般ユーザーにかけられた制限を解除することで
本来触れないシステム上の大事な設定やファイルを触る方法があるのも事実です。

この「脱獄」は基本的に別のコンピューターとiPhoneを繋いだりして
コンピューターからiPhoneを改造するような工程が必要なんですが、
この「iOS4.3.3」はこれまでのどの端末よりも「脱獄」が簡単にできました。

なんと「iOS4.3.3」は電子文書ファイルでおなじみの「PDF」を開くときに
本来セキュリティで守られて実行できないようなプログラムを特別に実行できてしまう欠陥があって、
これを利用すればWEBサイトから「PDF」を閲覧するだけで「脱獄」できてしまうんです。
その時間、ほんの数十秒。

hanzai_datsugoku

これを利用して、ロックがかかっていないiPhoneを勝手に「脱獄」して
遠隔操作で意のままに操ろうとする輩まで出る始末。
またこの「欠陥」を利用してWEBサイト閲覧中にウイルスを送り込まれる危険性も十分にありました。
当時iPhoneを持っていた人はちょっと怪しいサイトを見ただけで簡単にスマホを乗っ取られる可能性があったわけですね。おそろしい。

この「欠陥」はApple社が即座に修正版のソフトウェアを配布して対応されましたが、
こういうものを無視するといつまでも危険に晒されることになります。

さらにこれは昔話でもなんでもなくて、
この手口とよく似た脱獄方法がつい数ヶ月前、「iOS9.3.2」でも利用されるという話がありました。
2016年の話です。

脆弱どうするの??

じゃあどうすればいいかというと、WindowsでもiPhoneでもAndoridでも、JAVAやiTunesでも、
基本的にアップデートの通知は無視しちゃいけないって話です。
面倒でもちゃんと内容を読んで、調べて、適切に対応してください。
もし大事に至っても自己責任になっちゃいますからね。

とはいえ、こういったセキュリティの通知を騙った詐欺ウイルスもあるので注意しないとだめですが。

pop

こういうのは注意。詐欺だ!

ちなみに今回なんでこんな話を選んだかというと、
この前知人のPCをメンテナンスのために見に行ったときに
「Java Update」の通知をひたすら無視していたので注意喚起のつもりでお題にしてみました。

では最近寒くなってきたので、体もPCも壊さないように気を付けてください!

サーバー上のセキュリティ対応にお悩みの方はこちらまで

この記事がお役に立てば【 いいね 】のご協力をお願いいたします!
0
読み込み中...
0 票, 平均: 0.00 / 10
217
X facebook はてなブックマーク pocket
【2025.6.30 Amazon Linux 2 サポート終了】Amazon Linux サーバー移行ソリューション

【2025.6.30 Amazon Linux 2 サポート終了】Amazon Linux サーバー移行ソリューション

【大阪 / 横浜】インフラエンジニア・サーバーサイドエンジニア 積極採用中!

【大阪 / 横浜】インフラエンジニア・サーバーサイドエンジニア 積極採用中!

この記事をかいた人

About the author