パッチが適用されていない脆弱性の市場は非常に大きく成長しており、エクスプロイトの再販業者は、iOS 9 デバイスを危険にさらす可能性のある攻撃に対して 100 万ドルを支払う用意があるほどです。
エクスプロイト取得会社Zerodiumは、「最新のApple iOS 9オペレーティングシステムとデバイス向けの、独占的かつブラウザベースのアンテザードジェイルブレイク」を提供できる研究者に100万ドルを支払うことを約束している。
iOS デバイスの文脈では、ジェイルブレイクとは、Apple によって承認されておらず、公式アプリ ストアを通じて配布されていないアプリケーションをインストールするために、モバイル オペレーティング システムによって適用されるセキュリティ制限を回避することを指します。
このプロセスでは、OS とそのコンポーネントのさまざまな脆弱性を悪用したエクスプロイトを連鎖的に実行し、システムで可能な限り最高の権限、つまりルート アクセスを取得します。
脱獄と悪意のある攻撃の唯一の違いは、ペイロード、つまり システム上で実行されるコードです。従来の脱獄では通常、別のアプリストアが利用されますが、ハッカーや政府機関の手に渡ると、同じ脆弱性を利用して、ステルス性の高いトロイの木馬や監視ソフトウェアがインストールされる可能性があります。
「対象となる提出物には、ASLR、サンドボックス、ルートレス、コード署名、ブートチェーンを含むすべてのiOS 9のエクスプロイト緩和策を回避するために組み合わされた、未知、未発表、未報告の脆弱性/エクスプロイト(ゼロデイ)の完全なチェーンが含まれている必要があります」とZerodiumはiOS 9バグバウンティページで述べています。
土佐バーベル同社が関心を持っているのは、信頼性が高く、サイレントであり、Web ページにアクセスしたり、テキストや MMS メッセージを読んだりする以外にユーザーの操作を必要としないエクスプロイトだけです。
このような脱獄は以前にも存在していました。例えば、2007年から2011年まで運営されていたJailbreakMe.comというウェブサイトでは、iPhoneユーザーがボタンを押すだけで意図的にデバイスを脱獄することができました。このボタンはユーザーの同意を得るために追加されたもので、技術的には必要ありませんでした。
しかし、AppleのモバイルOSはそれ以来、大きく進化しました。Zerodiumの研究者でさえ、iOSは完全に解読不可能ではないものの、「現時点で最も安全なモバイルOS」であると認めています。
Zerodiumは、政府向けにエクスプロイトを開発・販売することで知られていた、現在は解散したフランスのサイバーセキュリティ企業Vupen Securityの創業者、チャウキ・ベクラー氏によって今年初めに設立されました。Zerodiumの目的はVupenと似ているようですが、独自にエクスプロイトを開発するのではなく、サードパーティの研究者から入手しています。
「Zerodiumは取得した脆弱性研究をすべて徹底的に分析・文書化し、保護対策やセキュリティ推奨事項とともに、Zerodium Security Research Feed(Z-SRF)の一部として顧客に提供しています」と同社はウェブサイトで述べている。
同社の顧客には「高度なゼロデイ防御」を必要とする防衛、テクノロジー、金融業界の大手企業が含まれるとされているが、同社はまた、「特定のカスタマイズされたサイバーセキュリティ機能を必要とする政府機関」とも情報を共有している。
Zerodium は、iOS 9 のエクスプロイトを「独占的に」入手したいと明言している。つまり、同社にエクスプロイトを販売したら、研究者は Apple を含む他の誰ともそのエクスプロイトを共有できないということだ。
サイバーセキュリティ企業Errata SecurityのCEO、ロバート・グラハム氏は月曜日のブログ投稿で、同社はおそらく入手したiOS 9の脆弱性を複数の政府に売却する計画だと述べた。
グラハム氏は、目的を達成するために複数の脆弱性を利用する必要のある iOS 9 のエクスプロイト チェーンは通常、約 30 万ドルの価値があると考えています。
「もし4カ国に30万ドルで販売できれば、利益は出るだろう」と彼は言った。「一方で、バグへの独占的アクセス、つまりサイバー優位の特権を得るために、もっと高い金額を支払う国もあるだろう。」
グラハム氏によると、ゼロデイ脆弱性攻撃を販売するビジネスを行っている他の企業や研究者は、iOS 9 に対する有効な攻撃をすでに持っている可能性が高いとのことだ。というのも、最近の正式リリースに先立ち、同 OS はベータ版として開発者向けに提供されており、悪用可能なバグを見つけるのに十分な時間があったからだ。
しかし、100万ドルという提示額は、iOSコミュニティ向けの公開脱獄に取り組んでいる一部の人々にとって、脱獄ではなくそれを販売する十分な動機となる可能性がある。
