暗号資産ウォレットのTrust Walletは16日、メッセージングアプリを対象とした高リスクのゼロデイ攻撃への懸念を受けAppleユーザーに対して「iMessage」を無効にすることを推奨した。この脆弱性を悪用した手法はダークウェブで200万ドルで売り出されており、iPhoneユーザーはリンクをクリックすることなく端末に侵入される可能性があるという。
関連記事:ノンカストディアルウォレット-Trust WalletとMetaMaskの比較
Sponsored1/2: ⚠️ Alert for iOS users: We have credible intel regarding a high-risk zero-day exploit targeting iMessage on the Dark Web.
— Trust Wallet (@TrustWallet) April 15, 2024
This can infiltrate your iPhone without clicking any link. High-value targets are likely. Each use raises detection risk. #CyberSecurity
ゼロデイ攻撃とは、ソフトウェアまたはハードウェアの脆弱性を利用するサイバー攻撃で、ベンダーが対応する前に実行される。これらの攻撃は長期間検出されずに残る可能性があり、システムやネットワークを脅威にさらされる。ゼロデイ攻撃は、セキュリティパッチが存在しないために特に危険とされ、サイバーセキュリティの分野で最も警戒される攻撃の1つである。特に高額なアカウントを持つユーザーがこの脆弱性のリスクが高いとTrust Walletは主張する。
If this is your “credible intel” it’s embarrassing. You don’t have evidence of a iOS exploit you have a screenshot of a guy claiming to have an exploit. Huge difference
— Beau (@beausecurity) April 15, 2024
しかし、このゼロデイ攻撃の真偽については専門家から懐疑的な意見が出ており、ブロックチェーンリサーチャーのBeau氏は、「信頼できる情報とはとてもいえない。iOSの脆弱性の証拠ではなく、単なる主張のスクリーンショットだ」と指摘した。
Trust Walletは、同情報が自社のセキュリティチームおよびパートナーからのものであることを明かし、リスクの脅威を常にチェックしていると説明した。ゼロデイ攻撃の脅威は、Appleが先月緊急セキュリティアップデートをリリースしてiOSの2つのゼロデイ脆弱性を修正した直後に報告された。過去にはiMessageが攻撃のベクトルとして使用された例もある。
トラスト・ウォレットは、脆弱性に対処するため、ユーザーがiPhoneの設定からiMessageを一時的に無効にすることを推奨とともに、Appleがセキュリティパッチを適用するまでこの予防措置を維持することを勧めている。