10月に、iPhoneの脆弱性を突いた攻撃についてお伝えしました。この脆弱性により、デバイスは繰り返し911番に電話をかけ、その結果、大量の通報が殺到し、ある911センターはサービス停止の「差し迫った危機」に陥りました。この脆弱性を徹底的に調査した結果、同じ脆弱性を利用した標的型攻撃が、米国の911緊急通報システムに壊滅的な被害をもたらす可能性があることが明らかになりました。
9to5Mac:
当初は短期間に数百件の通報があったと考えられていましたが、捜査官は現在、この脆弱性を突く攻撃を実行するツイートリンク1件が11万7502回クリックされ、クリックごとに911番通報が行われたと推測しています。ウォール・ストリート・ジャーナル紙によると、法執行機関や911の専門家は、同じ手法を用いた標的型攻撃が壊滅的な被害をもたらす可能性があると懸念しています…
「もしこれが、攻撃中に911システムに損害を与えたり、機能停止させようとした国家レベルの行為者だったなら、彼らは見事に成功していただろう」と、911業界団体である全米緊急番号協会の政府関係担当ディレクター、トレイ・フォーゲティ氏はウォール・ストリート・ジャーナルに語った。
米国全土の6,500の911コールセンターのうち、同様の911攻撃から保護するために設計されたサイバーセキュリティプログラムを導入しているのはわずか420です。
「新たな危機」
「大げさに言うつもりはないが、これは新たな危機だ」とオバマ政権時代に約3年間FCCで緊急事態管理とサイバーセキュリティを監督したデビッド・シンプソン退役海軍少将は WSJに語った。
昨年、イスラエルのベングリオン大学の研究者らは、悪意のあるソフトウェアに感染した6,000台未満のスマートフォンで、州全体の911システムを数日間機能停止させる可能性があると結論付けた。
このコードは、アリゾナ州出身のティーンエイジャー、ミートクマール(通称「ミート」)・ヒテシュバイ・デサイ氏が、AppleのモバイルOSの脆弱性を発見した概念実証として作成したとされています。彼はこの脆弱性を暴露することで、Appleからバグ発見報奨金を受け取れることを期待していました。デサイ氏は、誤って911番通報を行うコードを投稿してしまったと主張しています。実際には、画面にポップアップを表示し、デバイスをフリーズさせるコードを投稿するつもりだったと説明しています。デサイ氏は、コンピューター改ざんの罪で4件の重罪に問われています。
10月のMacTrastレポートより:
デサイ氏は、JavaScriptを使ってリモートからポップアップアラートを開いたり、アプリを起動したり、電話をかけたりする方法を発見した。この脆弱性を実証するため、彼は影響を受けたiPhoneから911に通報するコードを書き、Appleが提示する懸賞金を獲得するためには、これが概念実証を行う最良の方法だと考えた。彼はこの脆弱性を自身のサーバーにアップロードし、Twitterと自身のYouTubeチャンネルでリンクを共有した(どちらのリンクもその後削除された)。
デサイ氏は、コードを公開するつもりは全くなく、単に間違ったリンクをツイートしてしまっただけだと述べている。
修正が進行中
Appleの担当者はWSJに対し、修正プログラムが準備中だと述べた。同社によると、iPhoneの今後のシステムアップデートで、このような攻撃を可能にした脆弱性が修正されるという。アップデートにより、iPhoneの画面に「キャンセル」または「通話」のポップアップが表示され、ユーザーはiPhoneから発信する前に「通話」ボタンを押す必要がある。
「911番通報を迅速に発信し、オペレーターに繋がる機能は、公共の安全にとって極めて重要です」と同社は述べています。「今回の通報機能は、公共の安全を全く考慮しない一部の人々によって意図的に悪用されました。今後の悪用を防ぐため、安全対策を講じるとともに、サードパーティのアプリ開発者と協力して、各社のアプリでも同様の行為を防止しています。」
