デジタルペンテストサービス部の仲上です。 iPhoneやiPadに搭載されている標準メールアプリにおいて、メールを受信しただけで保存されているメールが漏洩したり、意図しないコードが実行されたりする脆弱性の存在が公表されました。 米国のセキュリティ企業ZecOps社が2020年4月22日(現地時間)にブログで発表した情報によると、最新のiOS(13.4.1)を含むiOS6以降のすべてのバージョンに脆弱性が存在し、この脆弱性が悪用されるとメール内容の漏洩、改ざん、削除が行われる恐れがあります。また、確認されていませんが、他の脆弱性と組み合わせることでデバイスが乗っ取られる可能性があります。 悪用された際の挙動はiOSのバージョンごとに異なり、 特にiOS13(13.4.1)ではバックグラウンドでメールを受信しただけでも攻撃が成功するため、 「0-click(ゼロクリック)」とも呼ばれています。
![【注意喚起】iOS標準メール、『受信しただけ』で被害の恐れ。メール受信設定の一時無効化を推奨 | LAC WATCH](https://cdn-ak-scissors.b.st-hatena.com/image/square/322cdc808a551b9654c344db21541602886582ee/height=288;version=1;width=512/https%3A%2F%2Fwww.lac.co.jp%2Flacwatch%2Fimg%2Fthumb_lacwatch_alert02.jpg)