• 
• 
• 
• 
• 
• 
• 
• 
• 

「iOS版Gmailアプリに脆弱性」、Googleは否定

　同社はメールによる声明で次のように述べている。「これはGmailアプリの脆弱性ではない。Lacoonが指摘したような状況となるには、ユーザーの明示的な行動が必要になる。具体的には、ユーザーのアプリにハッカーがアクセスできるようにするための悪質なルートCAを、ユーザー自身が意図的にインストールする必要がある」

　企業向けセキュリティ製品のテストを手がける米NSS LabsのCTO（最高技術責任者）John Pirc氏もGoogleの見解に同意し、攻撃者が何らかの手段で悪質な証明書のファイルをiPhone/iPadユーザーに送りつけ、言葉巧みにファイルを開けさせる必要があると指摘する。

　「ソーシャルエンジニアリングで、ユーザーがそうしたものをクリックする可能性は、かなり低いのではないかと私は思う」と同氏は話している。

　脆弱性を指摘したLacoonのブログ記事も、起こり得る攻撃手順を説明する中で、攻撃者がユーザーを騙して悪質なファイルを開かせる必要があることを認めている。

　例えば、会社員を標的とする場合なら、IT部門になりすましたメールを送って、添付の構成ファイルをスマートフォンにインストールするよう求めるといった手口が考えられると、Lacoonは説明している。

　だが、仮にルート証明書を含むファイルであれば、たとえピン留めが実装してあっても、そのインストールは回避できないと、Pirc氏は話している。

（了）

記事原文（英語）はこちら

｜CIOについて｜CIOへのお問い合わせ・ご意見｜著作権・リンクについて｜個人情報の取り扱い｜