iOSアップデート

iOS17.1でヤバい不具合【パスキーを盗まれる可能性】などが修正

2023年10月27日

iPhone向けに、iOS17.1 がリリースされ、セキュリティの不具合が 19 件修正されました(以下要約)。

  • 連絡先:攻撃者が機密ユーザーデータを取得する可能性がある
  • CoreAnimation:アプリがサービス拒否を引き起こす可能性がある
  • 探す:アプリが機密位置情報を読み取る可能性がある
  • ImageIO:画像の処理により、プロセスメモリの開示につながる可能性がある
  • IOTextEncryptionFamily:アプリがカーネル特権で任意のコードを実行する可能性がある
  • Kernel:カーネルコード実行を既に達成した攻撃者がカーネルメモリ緩和策をバイパスする可能性がある
  • メール下書き:Hide My Email が予期せず無効になる可能性がある
  • mDNSResponder:デバイスが Wi-Fi MAC アドレスでパッシブに追跡される可能性がある
  • Passkeys:攻撃者が認証なしでパスキーにアクセスする可能性がある
  • 写真:隠し写真アルバムの写真を認証なしで表示できる
  • Pro Res:アプリがカーネル特権で任意のコードを実行する可能性がある
  • Siri(3件):物理的なアクセス権を持つ攻撃者が Siri を使用して機密ユーザーデータを取得する可能性がある
  • ステータスバー:デバイスが常にロックに失敗する可能性がある
  • 天気:アプリが機密ユーザーデータを取得する可能性がある
  • WebKit(4件):Web コンテンツの処理により、任意のコードの実行またはサービス拒否が発生する可能性がある
引用元:About the security content of iOS 17.1 and iPadOS 17.1

iPhoneのセキュリティリスクから、「早急なアップデートを!」促す情報が多く見受けられます。

ですがiOS17以降、iPhone本体にダメージを及ぼしかねない不具合も多く報告されていることから、iOS17.1へのアップデートは慎重にならざるを得ません。

そこで今回、iOS17.1アップデートせず、しばらく様子を見るためのiPhoneのセキュリ対策について、わかりやすく解説していきます。

iPhoneを悪用されないよう、ぜひ本記事を参考にしてみてください。

iOS17.1で修正されたセキュリティ不具合の傾向

  • iPhoneを使う環境経由で悪用される可能性3件
  • 悪いアプリ、Webサイトに「情報を盗まれる、乗っ取られる」可能性

以下、iPhoneを使う環境面の悪用される例および、その対策について解説していきます。

パスキーが盗まれるかも

「パスキー」とは?パスワードを入力しない新しいログインの方法で、iPhoneの設定「パスワード」から、保存しているパスキーが確認できます。

今回、見つかったのは「IPhoneを触れる人間であれば、誰でもパスキーの中身を見ることができてしまう」という問題です。

対策として

  • 他人にiPhoneを使わせない
  • iPhoneでパスキーを共有しない
  • パスキーを別の場所に保存する

Touch IDやFace IDを利用して、自分以外の人がiPhoneを使えないようにしましょう。

またパスキーなど、パスワード管理をiPhoneの機能ではなく、パスワード管理アプリで運用するという方法もあります。

IT管理プロおすすめ

パスワードを「自動入力するだけ」なんて使い方、もったいないですよ?

  • 便利な使い方の例:1Password × リマインダー連携

Wi-Fi経由で追跡されるかも

セキュリティの低いWi-Fiにつなぐことで、悪い人に追跡されるかもしれないセキュリティの問題が見つかりました。

対策として

  • iPhone:位置情報「許可しない」
  • 信頼できないWi-Fiには接続しない
  • Wi-Fiの暗号化を強化する

iPhone:位置情報「許可しない」

iPhoneの[設定]>[プライバシーとセキュリティ]から、位置情報を許可しているアプリまた、[ローカルネットワーク]の設定を見直してみましょう。

信頼できないWi-Fiには接続しない

例えば、公衆Wi-Fiに自動接続する「タウンWiFi」アプリですが、iPhoneのWi-Fi設定で「安全性の低いセキュリティ」と表示されるWi-Fiを使わないようにしましょう。

Wi-Fiの暗号化を強化する

自宅のWi-Fiを乗っ取られないよう「Wi-Fi管理用のパスワードを設定する」また、Wi-Fiの暗号化設定を見直してみましょう。

Apple公式:Wi-Fi ルーターと Wi-Fi アクセスポイントの推奨設定

Wi-Fiの暗号化って?よくわからない…

iPhoneでQRコードを読み込み、ガイドに沿って設定していくだけでOK!

Siriの音声入力を傍受されるかも

悪い人がSiri に「パスワードを教えて」といった指示を出し、パスワードを取得することができる可能性があるセキュリティの問題が見つかりました。

対策として

  • 周囲に誰もいない安全な場所でSiriを使用する
  • 音声入力をオフにする
  • 音声入力の履歴を削除する

基本、「内緒の話を人に聞かれないようにする」同じ配慮で、Siriを使用すれば問題ないでしょう。

悪いアプリ、Webサイトに悪用されないための対策2点

悪いWebサイト、悪いアプリに悪用されないためのセキュリティ対策です。

  • 信頼性の低いアプリを使わない
  • 不審なWebサイトに近寄らない

1. 信頼度の低いアプリは使わない

信頼度の低いアプリを避けることで、iPhoneを悪用されるリスクを減らすことができます。

アプリの信頼性をチェックする方法

例)タウンWiFi の場合

App Storeでアプリを検索して、

①アプリ「アップデート」頻度チェック

②アプリの開発元をチェックする

問い合わせ先が「Gmail」など、誰でも取得できるメールアドレスの場合は注意!

2. 不審なWebサイトに近寄らない

不審なWebサイトには近寄らず、もし開いてしまったらすぐに閉じましょう。

「不審なWebサイト」ってなに?どうやって見分けるの?

デジタル苦手な方は、デジタルの不審な挙動を監視してくれる「セキュリティ対策アプリ」をご検討ください。

おすすめアプリ

  • 不審なWebサイトをブロック
  • 危険なWi-Fiアクセスをブロック
  • SMSの詐欺リンクもブロック
  • セキュアVPNで家でも外でもガッチり個人情報を保護

iOS17.1アップデートは慎重に

当サイトは、「iOSアップデート起因の不具合の対処はITプロでも困難」であることを理由に、新しいiOSがリリースされても「しばらく様子を見る」ことをおすすめしています。

SNSの口コミなどを参考に、アップデートする・しないは慎重に決めるようにしましょう。

【関連記事】

  • この記事を書いた人

どうなの@ITのかけ算

ITの「わかりにくい」をズバり!わかりやすく。
デジタルを便利に&安全に使うノウハウ発信中🚀
中の人は、情報セキュリティ資格を有するITのプロです。

-iOSアップデート