iOSのパスワード管理アプリに潜んだ3ヶ月間のセキュリティ脆弱性

近年、オンラインサービスの増加に伴い、パスワード管理の重要性が高まっています。そんな中、2024年にAppleはiOS 18でキーチェーンパスワード管理ツールを「パスワード」という独立したアプリとして提供開始しました。

しかし最近明らかになった事実によると、このアプリには深刻なHTTPバグが存在し、iOS 18の初期リリースからiOS 18.2でパッチが適用されるまでの約3ヶ月間、ユーザーがフィッシング攻撃に対して脆弱な状態に置かれていたことが判明しました。

発見された脆弱性の詳細

この重大な脆弱性は、セキュリティ研究チームMyskによって発見されました。彼らはiPhoneのアプリプライバシーレポートを確認していた際、パスワードアプリが安全性の低いHTTP通信を通じて驚くべき数の130もの異なるWebサイトに接続していることに気づきました。

この発見を受けて詳細な調査を行った結果、アプリがアカウントのロゴやアイコンをHTTP経由で取得していただけでなく、パスワードリセットページを開く際にもデフォルトで暗号化されていないHTTPプロトコルを使用していたことが明らかになりました。

MyskはこれについてIT系メディアの9to5Macに対して「この状況では、特権的なネットワークアクセスを持つ攻撃者がHTTPリクエストを傍受し、ユーザーをフィッシングサイトにリダイレクトする可能性がありました」と説明しています。

フィッシング攻撃のリスク

現代のWebサイトの多くは暗号化されていないHTTP接続を許可していますが、通常は301リダイレクトを使用して自動的に安全なHTTPSに転送します。iOS 18.2以前のパスワードアプリはHTTP経由でリクエストを行っていましたが、本来なら安全なHTTPSバージョンにリダイレクトされるはずでした。

通常の状況では、パスワード変更は暗号化されたページで行われるため、資格情報が平文で送信されることはなく、特に問題はありません。しかし問題が発生するのは、攻撃者がユーザーと同じネットワーク（スターバックス、空港、ホテルのWi-Fiなど）に接続し、リダイレクト前の初期HTTPリクエストを傍受した場合です。

Myskのデモンストレーションによると、攻撃者はトラフィックを操作してMicrosoftのlive.comページに似せたフィッシングサイトにリダイレクトさせることが可能でした。これにより、攻撃者は被害者の資格情報を簡単に収集し、さらなる攻撃を仕掛けることも可能になります。

Appleの対応と現在の状況

この脆弱性は2023年12月にサイレントに修正されましたが、Appleが公式に開示したのはそれから数ヶ月後のことでした。現在のパスワードアプリはすべての接続に対してデフォルトでHTTPSを使用するようになっています。

安全を確保するためには、お使いのデバイスが少なくともiOS 18.2以降で動作していることを確認することが重要です。セキュリティに関する情報は時に見過ごされがちですが、自分自身とまわりの人々を守るために、このような情報を共有することが大切です。

パスワード管理におけるセキュリティの重要性

今回の事例は、パスワード管理におけるセキュリティの重要性を改めて浮き彫りにしました。パスワード管理アプリは、私たちの最も重要な個人情報を保護するためのものです。そのため、こうしたツール自体のセキュリティが確保されていることが絶対条件となります。

Myskの研究者は「Appleがこのような機密性の高いアプリでHTTPSをデフォルトで強制しなかったことに驚きました」と述べ、さらに「Appleはセキュリティを重視するユーザーのために、アイコンのダウンロードを完全に無効にするオプションを提供すべきです。パスワードを管理しているサイトごとに、パスワードマネージャーが常に通信を行うことに不安を感じます。たとえパスワードアプリが送信する呼び出しにIDが含まれていないとしても」と付け加えています。