テクノロジーガイド

iOS 9でロック中の写真と連絡先が閲覧される脆弱性とその防止策

2 min read セキュリティ 更新されました 19 Oct 2025
iOS 9でロック中に写真・連絡先が見られる脆弱性と対策
iOS 9でロック中に写真・連絡先が見られる脆弱性と対策

ロック画面でSiriが起動しているiPhoneのスクリーンショット

概要

iOS 9で報告された問題は、パスコードやTouch IDを有効にしているロック済みデバイスから、Siriを経由して連絡先や写真アプリのコンテンツを参照できてしまうというものです。端末自体は解除されないためメッセージ読み取りや動画再生など全機能が使えるわけではありませんが、写真の閲覧や連絡先情報の一部参照が可能になります。

開示を行ったのは idownloadblog の Jeff Benjamin 氏で、Apple の対応が期待されています。以下に再現手順と対策を日本語で整理します。

何が見えるのか

  • ロック解除された状態にはならないが、連絡先の一部情報や写真アプリ内の画像を一覧で閲覧できる。動画は閲覧できない事例が報告されています。
  • 画像の共有や転送はできない(閲覧のみ)とされていますが、閲覧されること自体がプライバシー上のリスクです。

重要: この問題は写真と連絡先に限定された報告例であり、メッセージや通話履歴、メール本文など全てのデータが漏れるわけではありません。ただし閲覧される情報のプライバシーインパクトは大きいです。

再現手順(報告されている手順を日本語化)

  1. 異なる4つの誤ったパスコードを順に入力する(5回目の誤入力で一時ロックされる設定が通常)。
  2. 5回目のパスコード入力欄に3桁だけ入力し、ホームボタンを長押ししてSiriを呼び出す。直後に4桁目を入力する操作が行われる場合がある。
  3. これにより一時的にデバイスは1分間ロックされるが、Siriが呼び出された状態になる。
  4. Siriに現在時刻を尋ねる。
  5. 表示された時計アイコンをタップして「時計」アプリを開く。
  6. 右上の「+」アイコンをタップしてアラーム作成画面に入る。
  7. 都市を選ぶフィールド(Choose a City)に何か文字を入力するか誤った入力をする。
  8. フィールドをタップしてコピー&ペーストメニューを呼び出し、「すべてを選択」→「共有…」を選択する。
  9. 共有シートでメッセージ(Message)アプリのアイコンをタップする。
  10. 宛先(To)フィールドに何か誤った文字を入力してReturnを押す。
  11. 宛先欄の誤入力名を2回タップして情報(Info)ページを開く。
  12. 「新規連絡先を作成」(Create New Contact)をタップする。
  13. 「写真を追加」(Add Photo)をタップする。
  14. 「写真を選択」(Choose Photo)をタップする。
  15. これでロック中であってもデバイス内のアルバムと写真が表示され、1枚ずつ閲覧可能になる。

連絡先を見たい場合は12番で「既存の連絡先に追加」(Add to Existing Contact)を選べば、同様に連絡先情報へアクセスできます。

影響と制限

  • 影響範囲: iOS 9を動作する一部のiPhone。Touch IDやパスコードが設定されている端末が対象。
  • 制限: 全データが読み取れるわけではない。共有や転送がブロックされる報告があるが、閲覧自体が可能。
  • 再現性: 報告当時は短時間で再現できる手順だったが、OSのバージョン差や設定差で変わる可能性がある。

いつこの手法は失敗するか(カウンター例)

  • Siriがロック画面で無効化されている場合。
  • iOSが脆弱性修正済みの最新バージョンにアップデートされている場合。
  • 端末の設定や地域、言語設定によりUIが異なる場合は操作手順が変わり再現しないことがある。

すぐできる対策(個人ユーザー向け)

  1. 設定 > Touch IDとパスコード へ移動します。
  2. 「ロック中にアクセスを許可」(Allow Access When Locked)セクションで「Siri」をオフにします。

効果: ロック画面からSiriを呼び出せなくなるため、本件の再現経路をブロックできます。

代替・追加の対策:

  • iOSを最新バージョンにアップデートする(Appleが修正パッチを配布した場合)。
  • ロック画面に表示する情報を最小限にする(通知の表示制限など)。
  • 端末を管理している組織はMDMでSiriのロック画面アクセスを制御するポリシーを適用する。

管理者・企業向けチェックリスト

  • 社内のiPhoneでSiriのロック画面アクセスを無効化するポリシーを検討する。
  • 端末を最新のiOSに更新する運用を確立する(定期的なアップデート窓口)。
  • 機密写真や連絡先の扱いに関するガイドラインを周知する。
  • MDMで設定を一括適用できるか確認する。

テストケースと受け入れ基準

テストケース:

  • 手順に従って再現できるかを検証する(テスト端末は社内データを含まないものを使用)。
  • Siri無効化後に同じ操作でアクセスできないことを検証する。

受け入れ基準:

  • 「ロック中にSiriを許可」をオフにした端末で、上記再現手順を実行しても連絡先・写真の閲覧ができないこと。
  • 修正済みiOSにアップデートした端末で同様に閲覧ができないこと。

リスク評価(簡易マトリクス)

リスク可能性影響優先度
ロック中の写真閲覧
連絡先情報の漏洩
デバイス全体の乗っ取り

対策: Siriのロック中アクセスを無効化、OSの更新、MDM適用。

用語集(1行ずつ)

  • Siri: Appleの音声アシスタント。ロック画面からの呼び出しを制御できる。
  • Touch ID: 指紋認証による生体認証機能。
  • MDM: モバイルデバイス管理。組織でデバイス設定を一括管理する仕組み。

まとめ

  • iOS 9の報告された脆弱性はロック済み端末から写真や連絡先を閲覧できる可能性がある問題です。
  • 当面の対処としては「ロック中にSiriを許可しない」設定をオフにすることが有効です。
  • 長期的にはOS更新と組織ポリシー(MDM)の活用でリスクを低減してください。

重要: 攻撃手法はOSのバージョンや端末の設定で変化します。最新の公式アップデートとベンダーのアドバイスを常に確認してください。

まとめのチェックリスト:

  • 端末のSiri設定を確認したか
  • iOSを最新に更新したか
  • 重要データが端末に保存されている場合の保護策を実施したか
共有する: X/Twitter Facebook LinkedIn Telegram
著者
編集

類似の素材

CentOSでSVNサーバーを構築する
DevOps

CentOSでSVNサーバーを構築する

Androidでアプリのネット接続を個別に遮断する方法
Android

Androidでアプリのネット接続を個別に遮断する方法

CCXProcessの無効化と安全な対処ガイド
テクニカルガイド

CCXProcessの無効化と安全な対処ガイド

インドでDogecoinを買う方法(WazirXでの手順)
暗号通貨

インドでDogecoinを買う方法(WazirXでの手順)

携帯番号で居場所を特定する安全な方法(2024)
セキュリティ

携帯番号で居場所を特定する安全な方法(2024)

Google マップをオフラインでダウンロードする方法
ガイド

Google マップをオフラインでダウンロードする方法