Webを見るだけで――ここまできたiPhoneの脅威川口洋のセキュリティ・プライベート・アイズ(28)

» 2010年08月26日 10時00分 公開
[川口洋@IT]

幕張の夏は暑くて熱かった!

 皆さんこんにちは、川口です。今年は猛暑が続いていますが、皆さんは体調を崩したりしていませんか?

 気温は“暑い”ですが、幕張には“熱い”夏がやってきました。そう、あの「セキュリティ&プログラミングキャンプ2010」が今年も開催されました。いままではセキュリティコースの企業見学の受け入れ担当としてセキュリティ&プログラミングキャンプに関わってきましたが、今年は講師として最初から最後まで参加してきました。

 講師としては初の参加となったセキュリティ&プログラミングキャンプですが、熱くキラキラした眼差しを持った参加者の成長ぶりに日々刺激を受けていました。未来ある若者同士が、このコミュニティを生かして活躍してくれることを願うばかりです。キャンプの模様は取材の記事がありますので、そちらを参照してください。

【参考】

セキュリティ&プログラミングキャンプ2010
http://www.ipa.go.jp/jinzai/renkei/spcamp2010/

今年もアツかった! セキュリティ&プログラミングキャンプ開催(@IT NewsInsight)
http://www.atmarkit.co.jp/news/201008/19/camp.html


iPhoneやiPadの脆弱性を狙う攻撃

 2010年8月12日〜16日までに行われたセキュリティ&プログラミングキャンプ2010に参加している間に、新たな問題が現れていることに気が付きました。

【参考】

アップル社製iPhoneやiPadの脆弱性を悪用した攻撃の可能性に関して(ラックによる注意喚起)
http://www.lac.co.jp/info/alert/alert20100812.html


 私たちの調査では、iPhoneやiPadの脆弱性を悪用し、ウイルスに感染させられることを確認しています。脆弱なiPhoneなどに細工されたPDFファイルを読み込ませることで、リモートから任意の操作を可能にすることができ、ウイルスやボットの感染手法に悪用される可能性があります。最近アップルからリリースされたiOS 4.0.2 ソフトウェア・アップデート for iPhone、およびiOS 3.2.2 ソフトウェア・アップデート for iPadは、この脆弱性を修正したものです。

 従来、iPhoneに感染するウイルスは以下の条件をすべて満たしている必要がありました。

  • iOSをアップデートしていない
  • Jailbreakをしている
  • SSHサービスを別途インストールして、稼働させている
  • rootのデフォルトパスワードを変更していない

【注】

Jailbreakの可否については今回説明しませんが、サポートを受けられなくなるのでお勧めしません。


 iPhoneをJailbreakを行わずに利用する一般の利用者には無縁の話でしたが、今回確認された問題は、Jailbreakを行っていないユーザーにも影響があります。この問題を喚起するためのデモが以下にて公開されています。

【参考】

スマートフォンに対するドライブバイダウンロード攻撃コンセプト・デモ(LACCOTV)
http://www.youtube.com/watch?v=D54CGLCyxPg

動画が取得できませんでした

 このデモでは以下のような操作を行っています。

  1. iPhoneで写真を撮影
  2. 攻撃者のWebサイトにアクセス→自動的に攻撃が行われ、iPhoneに侵入される
  3. iPhoneの電話帳を攻撃者側に表示
  4. さきほど撮影した写真を攻撃者側に表示
  5. 攻撃者からiPhoneで電話をかけさせる

 iPhone自体にSSHでログインして操作をすることができるため、iTunesのアカウント情報やメールのやりとりなどの情報を盗むことが可能です。つまりリモートから“何でもあり”の状態になってしまうのです。

 今回の注意喚起は、このような攻撃が可能であるという危険性を示したものであり、実際に攻撃が行われたことを確認したわけではありません。しかし、早晩近いうちにこのような攻撃が行われるようになり、iPhoneやiPadもPCと同じような脅威にさらされることになるでしょう。

 私が心配しているのは、iPhoneやiPadを使用している人のうち、iOSのアップデートが必要であると認識している人がどれほどいるのか、ということです。PCと違い、アップデートが必要なものであると認識していない人も多いと思われるので、今回のような攻撃が行われると、大変な被害が発生する可能性を心配しています。

ウイルスに感染したiPhoneをどうやって見つける?

 先日、JSOCのお客様のシステムで、ウイルスに感染したiPhoneを発見しました。今回の注意喚起で紹介した手法ではなく、Jailbreakを行ったiPhoneにSSH経由で侵入されて感染したものです。

 感染した可能性のあるIPアドレスの特定まではできたのですが、そこからiPhoneの端末を特定するのに時間がかかりました。そのIPアドレスのiPhoneがどこのオフィスから通信しているのかが分からないのです。

 そのiPhoneは無線LAN経由で接続されていたのですが、ノートPCとは違い、iPhoneのMACアドレスまで管理されていないため、所有者を特定することもできません。そこで、iPhoneを操作している人を1人1人しらみつぶしに聞いて回っていくことになりました。さらに都合の悪いことに、iPhoneの通信範囲や電源状況によって通信が散発的に行われるため、所有者がiPhoneを操作しているところをタイミングよく発見しなければ、端末を特定できないのです。結局、問題のiPhoneを特定するまでに、通常の数倍の時間を要してしまうことになりました。

 そもそも認可されていない端末がシステムに接続できること自体が問題なのですが、事件が発生したあとでそれをいっても始まりません。最近ではiPhoneやiPadをビジネス用途に使う需要が高まっており、組織の中でポリシーに合わないと知りつつも、iPhoneなどを利用しているケースが多数あります。

 一番簡単、かつ安全な方法は、iPhoneやiPadをビジネスの現場で使わせないことですが、それでは隠れて使用するケースが発生するだけです。ユーザーに安全にiPhoneやiPadを利用してもらうためには、組織の特性や求められるセキュリティレベルに合わせてポリシーやルールを整備してください。

安全にスマートフォンを使うには

 冒頭で説明した通り、今年はセキュリティ&プログラミングキャンプ2010に参加したわけですが、参加者の多くがiPhoneをはじめとしたスマートフォンを持っていたことが印象的でした。おそらく彼らの学校の周りにも、たくさんスマートフォンを持っている友人がいることでしょう。

 セキュリティ&プログラミングキャンプ2010の参加者が自分だけではなく、友人や家族にも清く正しい使い方を伝授することが、成果の1つになるでしょう。私は、未来ある若者の成長を期待しながら、キャンプの反省と称して、今日も飲みに行くのでした。

Profile

川口 洋(かわぐち ひろし)
株式会社ラック
チーフエバンジェリスト兼シニアセキュリティアナリスト
CISSP

ラック入社後、IDSやファイアウォールなどの運用・管理業務をへて、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。

アナリストリーダとして、セキュリティイベントの分析とともに、IDS/IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。

現在、チーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。また、YouTubeのlaccotvにて、「川口洋のつぶやき」に出演中。


「川口洋のセキュリティ・プライベート・アイズ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。