「iOS 9」にアップデートしたのであれば、「iPhone」をどこかに置き忘れたりしないよう注意した方がいい。このOSには、誰でも簡単にロック画面をバイパスし、連絡先や写真といった情報にアクセスできるという脆弱性が存在しているのだ。

AppleはiOS 9で6桁のパスコードを設定できるようにするとともに、パスコードを誤った際に再入力が可能となる上限回数を引き下げたが、この新OSにはそうしたセキュリティ強化策を無意味なものにする脆弱性が含まれている。そしてさらに悪いことに、米国時間9月23日にリリースされた最新アップデート「iOS 9.0.1」でも、この脆弱性には対処していない。

iPhoneユーザーであるJose Rodriguez氏は、iOS 9およびiOS 9.0.1のロック画面をバイパスする詳しい方法について、動画で順を追って説明している。その方法は、ロック画面においてデフォルトで有効化されているパーソナルアシスタント機能「Siri」を利用するというものだ。

このバイパス手段は4桁の、あるいは6桁のパスコードを設定した機器で再現できる。

Rodriguez氏が24日にツイートしているように、ロック画面をバイパスするこの方法はiOS 9.0.1でも通用するため、同脆弱性に対処する唯一の手段はロック画面でのSiriの無効化しかない。

「iOS」はここしばらくのところ、ロック画面のバイパス問題とは無縁だった。しかし2013年には、「iOS 6」と「iOS 7」でロック画面をバイパスする複数の手段が発見されている。Rodriguez氏自身もiOS 7でそうしたバイパス手段の1つを発見しており、それは今回と同様に、連絡先へのアクセスを可能にするというものだった。

iOS 9のロック画面をバイパスできる今回の脆弱性が発見される数日前には、「Android 5.0 Lollipop」で発見された同様の脆弱性が、その最新バージョンで修正されている。Googleが「Nexus」製品のアップデートをリリースした後、iOSに対する今回のバイパス手法よりもはるかに複雑な手法が、テキサス大学のセキュリティ研究者らによって明らかにされたのだった。この手法は複雑であるものの、すべてのファイルに対するアクセスを可能にするだけでなく、マルウェアのインストールすら可能にするより深刻なものであった。

今週は、「App Store」上で4000本にもおよぶアプリがマルウェアに感染しているという報道がなされたこともあり、iOSのセキュリティにとって慌ただしい週であった。今回発見された脆弱性により、まだ「iOS 8」を利用しているユーザーは難しい判断を迫られることになる。というのも、iOS 9にはiOS 8に存在する100件以上のセキュリティ関連の修正が含まれているものの、リリース後間もない段階ではまだ安定しているとは言い難かったところに、今回の見過ごすことができない脆弱性が発見されたためだ。