Appleが設計したMac、iPhone、iPad向けのチップに、クレジットカード情報や位置情報などの個人データをChromeやSafari経由で漏えいさせる可能性のある2つの脆弱性が発見された。影響を受けるのは、iCloudカレンダーやGoogleマップ、Proton Mailなどのウェブサイトを閲覧しているユーザーだ。
この脆弱性は、ジョージア工科大学とルール大学ボーフムの研究者によって発見され、2021年以降に発売されたAppleのAシリーズおよびMシリーズチップを搭載するデバイスに影響を及ぼす。攻撃者は「FLOP」と「SLAP」と名付けられた2種類のサイドチャネル攻撃を利用することで、クレジットカード情報や位置履歴、メール、カレンダーのイベント情報を不正に取得できる可能性がある。
この脆弱性は、プロセッサの処理速度を向上させる「投機的実行(speculative execution)」という技術が悪用されている。具体的には、次のような手法で攻撃が行われる。
- FLOP攻撃:Load Value Predictor(LVP)の仕組みを悪用し、制限されたメモリ領域へアクセス可能にする。これにより、Googleマップの位置履歴、GmailやProton Mailのメール内容、iCloudカレンダーの予定などが流出する可能性がある。
- SLAP攻撃:Load Address Predictor(LAP)を操作することで、メモリアドレスの予測を改ざんし、ブラウザ上で実行されているJavaScriptデータを取得する。特にSafariユーザーは、悪意のあるウェブページを開いていると、他のタブで開いているサイトの機密情報を抜き取られる危険性がある。
研究チームによると、以下のAppleデバイスが影響を受ける。
- MacBook(2022年以降発売):MacBook Air、MacBook Pro全モデル
- Macデスクトップ(2023年以降発売):Mac Mini、iMac、Mac Studio、Mac Pro
- iPad(2021年9月以降発売):iPad Pro、iPad Air、iPad mini全モデル
- iPhone(2021年9月以降発売):iPhone 13、14、15、16シリーズ、iPhone SE(第3世代)
攻撃者は、SafariやChromeでiCloudカレンダーやGoogleマップ、Gmail、Proton Mailを閲覧しているユーザーのデータに、本人の認証なしでアクセスできる可能性がある。特に、メールや金融情報、リアルタイムの位置情報が不正に取得されるリスクがあり、プライバシー面での脅威となる。
研究チームはこの脆弱性をAppleに事前に報告しており、Appleも問題を認識している。現時点では「直ちに悪用される危険性は低い」としているものの、将来的な悪用を防ぐために対策アップデートを予定しているという。専門家は、影響を受けるデバイスでは機密情報のやり取りを控えるとともに、ソフトウェアの最新アップデートを適用するよう推奨している。
