海外のテック系情報サイトPhone Arenaは12月27日(現地時間)、ArsTechnicaの記事を引用するかたちで、ロシアで過去4年間に最大数千台の「iPhone」がスパイウェアに感染した可能性があると伝えました。
当該スパイウェアは「CVE-2023-32434」「CVE-2023-32435」「CVE-2023-38606」「CVE-2023-41990」という4つの脆弱性が利用したもので、Appleのメッセージサービス「iMessage」を経由し、ユーザーが気付かない方法で感染を拡げていました。
スパイウェアの存在が発覚したのは2023年6月。被害を受けたのはロシアのセキュリティー企業カスペルスキーの従業員や、同国の大使館、在外公館で働く職員の端末で、マイク録音、写真、位置情報、その他の機密データが攻撃者のサーバーへ送信されていたとのこと。正確な被害状況は不明ですが、過去4年間で数十台から数千台の端末が感染したとみられています。
注目すべき点は、悪用された脆弱性のなかに、本来なら非常に発見しづらいものが含まれていたこと。Phone Arenaの記事で引用されたカスペルスキーの研究者ボリス・ラリン氏のメールでも、同社は攻撃者が脆弱性を見つけた方法を解明できておらず、偶然の発見などあらゆる可能性を考慮して調査中であることが明かされています。
なお、悪用された脆弱性については、Appleが6月に配信した各OSのアップデートで修正済みです。