Apple は、特に露出度の高いユーザー向けの新しい保護メカニズムを発表しました。 ロックダウン モードは、個人または仕事のために高度なデジタル脅威によって個人的に標的にされる可能性がある特定のユーザーに対して、高レベルのセキュリティを約束します。
NSO グループ (Pegasus Spyware) および政府が後援するスパイウェアの開発に関与するその他の民間企業は、多くの場合、重要または高レベルのユーザーの小さなターゲット グループを脅かします。 したがって、Apple は新しいセキュリティ モードを提供します。iOS 16、iPadOS 16、および macOS Ventura でロックダウン モードを有効にすると、デバイスの防御がさらに強化され、特定の機能が大幅に制限され、標的型スパイウェアによって悪用される可能性のある攻撃面が大幅に減少します。 IT セキュリティ プロバイダ Lookout のセキュリティ インテリジェンス リサーチ ディレクターである Christoph Hebeisen 氏のコメント:
ロックダウン モードは攻撃面を減らします
悪用可能な脆弱性は、JavaScript JIT コンパイルやビデオ再生などの非常に複雑なコードでよく見られます。 ロックダウン モードは、このような複雑なコードに依存する機能を無効化または制限します。特に、リモートでトリガーでき、デバイス上でのユーザー操作がほとんどまたはまったくない機能に重点を置いています。 これにより、攻撃者がデバイスの制御に使用できる脆弱性を悪用する可能性が制限されます。 特に、ゼロクリック攻撃 (ユーザーの操作なしでデバイスを制御できる攻撃) は、通常、メッセージやその他のデータを受信したときに自動的にトリガーされる機能に依存しています。 ロックダウン モードの他の部分は、攻撃者がロックされたデバイスに物理的にアクセスしてできることを制限することを目的としています。
Apple はそれを使って新しいテクノロジーと戦うことができますか?
これらの対策は確かにデバイスのセキュリティを強化しますが、ロックダウン モードはデバイスにインストールされているサードパーティ製アプリの攻撃面を減らすものではないことを覚えておくことが重要です。 さらに、ロックダウン モードは必然的にデバイスの機能とパフォーマンスを制限します — 一部のユーザーはしばらくの間このトレードオフを受け入れるかもしれませんが、不便さはロックダウン モードを無効にするインセンティブを生み出します.
ロックダウン モードは、攻撃に利用できる潜在的に脆弱なコードの量を減らしますが、モバイル監視マルウェアの標的となるユーザーの間でその使用が一般的になると、攻撃者はロックダウン モードでデバイスを乗っ取ることができるエクスプロイトを開発することを余儀なくされます。 不可能ではないかもしれませんが、攻撃対象領域を縮小すると、Apple モバイル デバイスへの攻撃を成功させることが難しくなり、その結果、コストが高くなります。
この問題は一般的にどの程度広まっていますか?
ほとんどのユーザーは、デバイスのオペレーティング システムに関係なく、ゼロデイ エクスプロイトを使用した高度な攻撃の標的になる可能性はほとんどありません。 このような攻撃の背後にいるアクターは通常、法執行機関または諜報機関ですが、十分に文書化された多くの事例では、これらの監視ツールが組織犯罪やテロリストに対して使用されたのではなく、弁護士、政治家、ジャーナリスト、人権活動家、または彼らが疑われる幹部に対して使用されています。自国の政府または他の国の政府であること。
他に何をする必要がありますか?
昨秋、米国商務省は NSO をエンティティ リストに追加し、商業活動を継続する能力を制限しました。 NSOの最近の財政難を考えると、この動きは、過去にこの技術を悪用したことが知られている国との取引を含む、事業を行う能力を制限するのに役立ったようです. 世界中のユーザーをこのような脅威から保護するには、より多くの規制と監視業界の管理が必要です。
ほとんどの場合、危険にさらされていない iOS ユーザー (したがって、標的型脅威による攻撃を受ける可能性が低い) は、デバイスの使用に制限が課されるため、ロックダウン モードを使用しません。 したがって、ロックダウン モードの保護の恩恵を受けません。 今日、すでに誰もが利用できる最新のモバイル セキュリティ ソフトウェアは、ロックダウン モードが有効になっているかどうかに関係なく、ユーザーとデバイスを攻撃から保護し、侵害されたモバイル デバイスを検出するのに役立ちます。」
詳しくは Lookout.com をご覧ください
ルックアウトについて Lookout の共同設立者である John Hering、Kevin Mahaffey、および James Burgess は、ますます接続された世界がもたらすセキュリティとプライバシーのリスクから人々を保護することを目標に、2007 年に集まりました。 スマートフォンが誰もがポケットに入れる前から、モビリティが私たちの働き方や生活に大きな影響を与えることに気づいていました。