海外における個人情報流出事件とその対応　第172回人気のスマートフォンに迫る危険　(2)要求される早急なセキュリティ強化

●ハッカーに狙われる大人気のiPhone

iPhoneについては、発売開始後、約1カ月後の7月に、セキュリティ研究者が完全にコントロールしてしまう方法を見つけている。発見したのはボルチモアのフリーのセキュリティ評価者3人だ。まずは、攻撃側はユーザに悪意あるウェブサイトにリンクしたe-mailを送信する。ユーザがリンクにアクセスしようとすると、攻撃者のウェブサーバがブラウザ、サファリの脆弱性を攻撃して、デバイスのコントロールを奪うというものだ。

成功すると、テキストメッセージの送信、ユーザの通話履歴、連絡先の情報、ボイスメールのデータをはじめ、iPhoneの全ての機能を無断で利用することができた。ファイルシステムを調べることで、パスワードやe-mailやインターネット利用の履歴も取得が可能だったという。

3人によると、アップル社はiPhone開発でセキュリティに非常に力を入れていて、Flashをはじめとする第三者によるアプリケーションの使用制限はしっかりされている。しかしセキュリティの設計と実装に多少問題があったようだ。

ほかにもHTMLベースの弱点を使うことで、バイブレータやマナーモードなどの機能を実行させた。さらに電話のAPIを攻撃して、不正に電話をかけたり、テキストメッセージを送信、会話の記録、そしてデータなどを第三者に送ることも可能だという。

さらに2007年の9月には、iPhoneのシェルコードを実行する方法が発表された。Metasploitフレームワークという侵入テストツールに、iPhoneやiPod touchの脆弱性を攻撃するコードを追加したというもので、発表したのはHDムーアというMetasploitフレームワークの開発者だ。

ムーアはブログで、iPhone用シェルコードとデバイスをポータブルなハッキングツールとして使用する方法を紹介した。また、Metasploit 用にiPhoneを攻撃するためのペイロードも用意した。これにより、攻撃者が特定の範囲にある、ほかのiPhoneやモバイルデバイスを攻撃するためのハンディなツールとなり得るとして、セキュリティ業界の注目を集めた。

ムーアは続いて10月にもiPhoneのブラウザ、SafariやiTuneソフトなどが共有するTiff画像レンダリングのライブラリにある脆弱性を利用するコードを、Metasploitに追加した。この脆弱性攻撃は、e-mailで送信できるだけでなく、ウェブページに仕掛けておくこともできる、強固な攻撃ツールになった。

Tiffの欠点はAppleがiPhoneのパッチを発表して修正されたが、Windowsなどのパッチ同様、利用しないで脆弱な状態にしたままのユーザも多数いる。ほかの携帯端末ソフトの脆弱性も同様だ。ユーザはパッチが出たらすぐに修正を行うようにする必要がある。

無線LANに接続できる公共のホットスポットが増え、iPhoneが稼動している状態がますます一般的になるに連れて、脅威も増大している。iPhoneはメモリも4GBからと大きい。今年になって16GBのモデルも販売が始まり、保管できるデータ量も膨大だ。このような状況を背景に企業や組織も、iPhoneやスマートフォンなどのデバイスのセキュリティ強化に力を入れ始めている。

●企業のリスク回避策は急務

スマートフォン類は特に出張など、移動の多いポジションにいる人に便利だ。e-mailやインターネット接続、企業ネットワークにアクセスすることができるものや、最近のモデルではスプレッドシートを使用できるものも出てきた。最近のスマートフォン人気は、機能改善も理由の1つで、企業側で従業員に携帯を求めることも多い。一方でスマートフォンは持ち運びに便利であるため、その可動性から紛失や盗難のリスクがオフィス内のPCに比べてとても高い。

組織がデータを守るのに最善の方法は、最初からクライアントデバイスには重要データを保管しないことだとセキュリティ専門家も口を揃えている。データがサーバ上およびデータセンター内にあり、ネットワークを通じてのみアクセスできるという状況である限り、ハードの盗難や紛失がなければデータは安全なはずだ。デバイスの情報をコピーしていると便利だが…

【執筆：バンクーバー新報西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec