エアプレイ(AirPlay)とカープレイ(CarPlay)を通じて、世界中の数十億台のデバイスがハッキングの脅威にさらされているとの分析が出ました。
海外のセキュリティ企業Oligo Securityは、いわゆる「AirBorne」と呼ばれるセキュリティ脆弱性が、Appleデバイスだけでなく、多くのサードパーティデバイス(エアプレイ・カープレイ機能を搭載した他社製品)にも影響を及ぼすと発表しました。
問題とされる脆弱性は、ユーザーが何のアクションを行わなくても、ハッカーが同じWi-Fiネットワークにいるだけでデバイスにアクセスし、マルウェアを仕込んだり、機密情報を盗み出したりすることができる「ゼロクリックリモートコード実行」方式です。マルウェアが自動的に他のデバイスに伝播する「ワーム」形式の感染も可能です。
脆弱性の影響は広範囲にわたります。iPhone、iPad、Mac、AppleTVはもちろん、エアプレイをサポートするスマートスピーカー、テレビ、車載インフォテインメントシステムも対象です。Oligo Securityは、これにより最大23億5千万台以上のAppleデバイスと多くのIoTデバイスが危険にさらされていると警告しました。
特に車内のカープレイ機能が有効なシステムは、Wi-Fiだけでなく、Bluetooth、USB接続を通じてもハッキングに脆弱である可能性があります。実際に800以上の車両モデルがこの種の攻撃にさらされており、ハッカーが車両のインフォテインメントシステムを操作したり、乗客の会話を盗聴したりする可能性も否定できません。
空港、ホテル、カフェなどの公共Wi-Fi環境は、最も危険な攻撃経路です。ハッカーはここで脆弱なデバイスを感染させ、該当デバイスが家庭や企業ネットワークに接続される際に追加攻撃の拠点として利用することができます。感染したデバイスはスマートスピーカー、テレビ、監視カメラ、ホームハブなどスマートホームエコシステム全体への脅威を拡散させる可能性があります。
ハッキング可能な経路は、エアプレイ内部の認証設計ミスとネットワーク命令処理方式の穴から生まれます。攻撃者はこれを通じてローカルファイルの読み取り、アクセス権限の迂回、中間者攻撃(MITM)で通信内容を盗聴することもできます。
セキュリティ専門家は、デバイスのオペレーティングシステムを最新の状態に保つことが最も基本的な防御策だと助言しています。エアプレイの受信用機能は使用しない場合は非活性化し、接続デバイスは信頼できる対象に限定することが望ましいです。ルーターのWi-Fiパスワードは十分に強力に設定する必要があり、公共ネットワークは可能な限り使用を避けることが賢明です。
また、サードパーティのスマートデバイスのユーザーは、メーカーのセキュリティアップデートを確認し、最新のファームウェアを維持することが必須です。カープレイが搭載された車両の場合、無線接続のセキュリティ設定とソフトウェアの更新状況をチェックする必要があります。
Appleは最近、自社製品に関するセキュリティパッチを発表しましたが、アップデートがサポートされていないか、体系が不足しているサードパーティデバイスは長期的に脆弱な状態のままになる可能性があり、特別な注意が必要です。