iPhoneを使っているなら、おそらくiOS 26を実行しているだろう。だが注意が必要だ。端末内に、必ず変更すべき危険な隠し設定が埋もれている。アップルがセキュリティやプライバシーで誤ることは多くないが、今回は誤った。
iPhoneと物理アクセサリーをケーブルで接続した際の設定を変更する
ここで問題にしているのは、端末に差し込まれる悪意あるアクセサリーに対する、アップルの優れた新しい防御機能の設定だ。無線経由やリモートの攻撃が見出しを飾りがちだが、スマートフォンはWi‑Fiやセルラー接続と同じくらい、ケーブル経由でも侵害され得る。
このため、アップルとグーグルはいずれも、フォレンジック用ソフトが端末データを流出させるのを阻止するべく、一定時間が経過すると端末を「初回ロック解除前(BFU: Before First Unlock)」状態に戻すタイムアウト機能をiPhoneとAndroidに追加している。これが、いわゆる「ジュースジャッキング(公共の充電設備などを悪用してデータ窃取やマルウェア感染を狙う手口)」が今なおニュースになる理由でもある。
今回問題にしている「有線アクセサリ」オプションは、「設定」>「プライバシーとセキュリティ」>「セキュリティ」で見つかる。アップルは次のように説明している。
・常に確認:毎回、すべてのアクセサリーを手動で承認する
・新しいアクセサリの場合は確認:初めて接続するアクセサリーを手動で承認する
・ロックされていない場合は自動的に許可:iPhoneやiPadのロックが解除されているときにアクセサリーが接続された場合、自動的に承認する(デフォルトの設定)
・常に許可:接続されたすべてのアクセサリを自動的に承認する
「常に確認」か「新しいアクセサリの場合は確認」への変更を推奨
見てのとおり、デフォルトの設定は、ロックされていない場合は新しい有線/物理アクセサリーの接続を自動的に許可する、というものだ。これは危険だ。もちろん最悪の選択肢は「常に許可」だ。残る2つ——「常に確認」か「新しいアクセサリの場合は確認」——であれば問題ない。
iOS 26が最初にリリースされたとき、筆者はすべてのiPhoneユーザーにこの設定を変更するよう警告した。そして、同様の警告が今も発せられている([1]、[2])。TSA(米運輸保安局)などはジュースジャッキングが依然として脅威だとする一方、FCC(米連邦通信委員会)はそうではないと安心させている。だが、そうした情報にかかわらず、ロック解除された状態でも新しいアクセサリーを接続する前に警告が出るべきなのだ。
iPhoneに物理アクセサリーを接続したとき、端末がロック解除されているというだけでそのアクセサリーに信頼された地位を与えるなら、リスクが生じる。アップルが既定をこのように設定した理由は分からない。だが変更は簡単である。今すぐ実施すべきだ。数秒で終わる。
Source link
コメント