iOS 5.1.1 ではセキュリティ上の重大な弱点が修正されています。アップデートしましょう。

AppBankの主任です。

iOS 5.1 のアップデート版「iOS 5.1.1」が先日リリースされたことをご存知でしょうか。

この iOS 5.1.1 にアップデートすることで iOS 5.1 が持っている、セキュリティ上の重大な弱点（ぜい弱性）が修正されます。

そこで今回は「iOS 5.1 のセキュリティ上の弱点とは何か」「iOS 5.1.1 にアップデートする方法」「セキュリティ上の弱点を放置すると何が起こりうるのか」をご紹介します。

皆さん、iOS 5.1.1 へアップデートしましょう。

iOS 5.1 の “セキュリティ上の重大な弱点” とは？

iOS 5.1 にはセキュリティ上の重大な弱点が3つあります。

1. Safari のローケーションバーに表示される URL が偽装できる
2. 悪意あるウェブページを表示するとクロスサイトスクリプティングが発生する
3. 悪意あるウェブページを表示するとアプリが不正に終了・任意の命令を実行する

1と2の弱点はフィッシング詐欺に、3の弱点は iPhone 本体にウイルスを仕込む際に使われる可能性があります。Safari で悪意のあるウェブページを表示しただけで攻撃され、ID やパスワードなどの情報が流出する恐れがあります。

これらの弱点は iOS 5.1.1 へアップデートすることで修正されます。これが iOS 5.1.1 へのアップデートをお勧めする理由です。

iOS をアップデートする方法

iOS をアップデートする方法は2つあります。iTunes を使う方法と iPhone/iPad だけアップデートする方法です。

iTunes を使ってアップデートする方法

まず、iTunes と同期する時と同じように iPhone/iPad を USB ケーブルを使って PC と接続します。

次に iTunes のウィンドウ左側にある【デバイス】欄から iPhone/iPad をクリック。すると以下のような画面が表示されるので、【アップデートを確認】をクリックします。

あとは表示されるメッセージの通りに操作を行うだけです。アップデートが完了する直前に iPhone/iPad は1回再起動します。

iPhone/iPad だけでアップデートする方法

iPhone/iPad だけでアップデートする際には、あらかじめ2つの準備をしておきます。

まず、Wi-Fi 回線に接続しておきます。次に iPhone/iPad を充電器と繋いで充電中の状態にします。

この2つの準備が終わったら、設定アプリを開きます。
次に【一般】→【ソフトウェアアップデート】の順にメニューをタップします。

iOS 5.1.1 が表示されるので、その下にある【ダウンロードしてインストール】をタップし、次に【OK】をタップします。

あとはダウンロードとインストールが終わるまで待ちます。

iOS 5.1 の弱点を放置すると…

ここからは先ほどご紹介した iOS 5.1 のセキュリティ上の弱点を放置した場合、どんな事が起こる可能性があるのかをご紹介します。

1. 偽のウェブページへ誘導されて個人情報が盗まれる

ロケーションバーに表示される URL とは、Safari の画面上部に「www.appbank.net」などと表示されているもの。これはウェブページの「住所」を示します。

これがあるおかげで、見た目はそっくりな偽のウェブページを用意しても、この URL を確認すればすぐに偽物だということが分かります。

しかし、URL が偽装できてしまうと、偽のウェブページは見た目も「住所」も本物と全く同じ。これではだまされて ID やパスワードなどを入力してしまいます。

iOS 5.1 の Safari ではこの URL の偽装が簡単に行えてしまうのです。

2. 悪意のあるウェブページを表示するとログインに関するデータが盗まれる

Safari に保存されているログインに関するデータを、ハッカー自身に送信する命令を書き込む「クロスサイトスクリプティング」がウェブページに行われていると被害に遭う可能性があります。

iOS 5.1 の Safari はそのような命令が書かれたウェブページを表示した途端、それを実行します。つまり、ログインに関するデータが盗まれてしまうのです。

ログインに関するデータが盗まれると、それを受け取った人物はそのデータの持ち主になりすましてサービスにログインし、勝手に利用されてしまうことがあります。

3. ウイルスが埋め込まれてしまう

この弱点を利用すれば、悪意のあるウェブページにアクセスした途端に Safari が突然終了したり、そこに書かれている無許可の命令を実行してしまいます。

このような弱点は iPhone の Jailbreak と呼ばれる行為で利用されます。つまり、この弱点があるということは Jailbreak と同等の事が、ユーザーの意思とは関係なく実行されてしまう恐れがあるということです。

例えば、あるウェブサイトを表示したら iPhone が Jailbreak され、キー入力をすべて監視・送信するウイルスが仕込まれてしまった、といったことも理論上は起こり得ます。

参考（順不同）

• About the security content of iOS 5.1.1 Software Update
• 情報処理推進機構：情報セキュリティ：脆弱性関連情報の取扱い：知っていますか？脆弱性 (ぜいじゃくせい)／2. クロスサイト・スクリプティング
• Security Alert: Safari for iOS 5.1 reportedly vulnerable to address bar spoofing | TUAW – The Unofficial Apple Weblog