今週、仮想通貨ウォレットメーカーは、ハッカーがiMessageの「ゼロデイ」脆弱性を利用して人々を標的にしている可能性があると主張したが、すべての兆候は、完全な詐欺ではないにしても、誇張された脅威であることを示している。
Trust Walletの公式X(旧Twitter)アカウントは、「ダークウェブ上のiMessageを標的とした、高リスクのゼロデイ脆弱性に関する信頼できる情報を入手しました。この脆弱性は、リンクをクリックすることなくiPhoneに侵入する可能性があります。高価値な標的となる可能性が高いため、使用するたびに検出リスクが高まります」と投稿しました。
ウォレットメーカーは、iPhoneユーザーに対し、「Appleがこのパッチを当てるまで」iMessageを完全にオフにするよう推奨しているが、「この問題」が存在することを示す証拠はまったくない。
このツイートは瞬く間に拡散し、本稿執筆時点で360万回以上閲覧されています。この投稿が注目を集めたため、仮想通貨取引所バイナンス傘下のTrust Walletは数時間後に続報を投稿しました。同社は「コミュニティへの潜在的な脅威やリスクについて積極的に情報発信している」と述べ、公開の決定を改めて強調しました。
Trust Walletのジョン・ブロードリー氏は、TechCrunchにメールで問い合わせたところ、同社の主張を裏付ける証拠の提供を拒否した。Trust Walletの最高情報セキュリティ責任者であるイヴ・ラム氏も、差し迫った脅威があるという主張の裏付けとなる証拠は示さず、ユーザーへのアドバイスを繰り返した。
アップルの広報担当スコット・ラドクリフ氏は火曜日の取材に対しコメントを控えた。
Trust WalletのCEO、エオウィン・チェン氏によると、この「情報」とはCodeBreach Labというダークウェブサイト上の広告で、200万ドル相当のビットコインで、このエクスプロイトとされる脆弱性を売りつけている人物がいるとのことだ。「iMessageエクスプロイト」と題されたこの広告は、この脆弱性がリモートコード実行(RCE)エクスプロイトであり、標的の操作を必要とせず、一般に「ゼロクリック」エクスプロイトとして知られる、最新バージョンのiOSで動作すると主張している。一部のバグはゼロデイと呼ばれるが、これはベンダーが脆弱性を修正する時間、つまりゼロデイ期間がないことを意味する。今回のケースでは、そもそもエクスプロイトの証拠は存在しない。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
RCEは、ハッカーがインターネット経由で標的のデバイスを遠隔操作できるため、最も強力なエクスプロイトの一つです。RCEのようなエクスプロイトにゼロクリック機能を組み合わせると、デバイス所有者に気付かれずに攻撃を実行できるため、非常に大きな価値が生まれます。実際、ゼロデイ脆弱性を入手して再販する企業は現在、この種のゼロクリック脆弱性に対して300万ドルから500万ドルの価格で提示しており、これはこの種のエクスプロイトを発見・開発することがいかに困難であるかを物語っています。
お問い合わせ
実際のゼロデイ脆弱性に関する情報や、スパイウェアプロバイダーに関する情報をお持ちですか?仕事用ではないデバイスから、Lorenzo Franceschi-Bicchierai まで、Signal(+1 917 257 1382)、Telegram、Keybase、Wire(@lorenzofb)、またはメールで安全に連絡できます。SecureDrop 経由で TechCrunch に連絡することも可能です。
このゼロデイがどこでどのように販売されているかという状況を考えると、これはすべて単なる詐欺であり、Trust Wallet がそれに騙されて、サイバーセキュリティ業界の人々が FUD、つまり「恐怖、不確実性、疑念」と呼ぶものを広めた可能性が非常に高いです。
ゼロデイ脆弱性は確かに存在し、政府のハッキング部隊によって長年利用されてきました。しかし実際には、ジャーナリストや抑圧的な政府に所属する反体制派など、リスクの高いユーザーでない限り、iMessageをオフにする必要はおそらくないでしょう。
ハッカーがiPhoneやMacを攻撃するために使用できる手段を減らすことを目的として、特定のAppleデバイスの機能を無効にする特別なモードであるロックダウンモードをオンにすることをユーザーに勧める方がよいアドバイスです。
Appleによると、ロックダウンモードを使用している間にAppleデバイスがハッキングされたという証拠はないとのことです。数十件ものiPhoneハッキング事例を調査してきたルナ・サンドヴィク氏やCitizen Labの研究者など、サイバーセキュリティの専門家はロックダウンモードの使用を推奨しています。
CodeBreach Labは、実績のない新しいウェブサイトのようです。Googleで検索したところ、検索結果はわずか7件で、そのうちの1件は、有名なハッキングフォーラムに投稿されたもので、「CodeBreach Labについて以前聞いたことがある人はいますか?」というものでした。
CodeBreach Lab のホームページでは、タイプミスもあるが、iMessage 以外にも数種類のエクスプロイトを提供していると主張しているが、それ以上の証拠は示していない。
CodeBreach Labのオーナーたちは、この施設を「サイバー破壊の中心地」と表現しています。しかし、おそらく「自慢話と無知の中心地」と呼ぶ方が適切でしょう。
TechCrunchはCodeBreach Labにコメントを求めたが、連絡手段がないため、連絡が取れなかった。このエクスプロイトを購入しようとした際(当然のことながら)、ウェブサイトは購入者の氏名とメールアドレスの入力を求め、さらにパブリックブロックチェーン上の特定のウォレットアドレスに200万ドル相当のビットコインを送金するよう求めた。確認したところ、今のところ誰も送金していないようだ。
言い換えれば、このいわゆるゼロデイを入手したい人は、現時点では誰の所有物か分からないウォレットに 200 万ドルを送金しなければなりません。また、連絡を取る手段もありません。
そして、今後もその状態が続く可能性が非常に高いです。
更新、4月17日午前8時35分(東部標準時):このストーリーはTrust Walletからのコメントで更新されました。
Lorenzo Franceschi-Bicchierai 氏は TechCrunch のシニアライターであり、ハッキング、サイバーセキュリティ、監視、プライバシーなどをカバーしています。
ロレンゾからの連絡を確認したり連絡を受けたりする場合は、[email protected]にメールを送信するか、Signal の +1 917 257 1382 に暗号化されたメッセージを送信するか、Keybase/Telegram の @lorenzofb にメッセージを送信してください。
バイオを見る
