| IT責任者 2016年9月8日


2016年9月8日

まとめ:iOSの脆弱性を狙う脅威「ペガサス」概要と、対策方法

By Lookout

iOSの脆弱性を狙う脅威「ペガサス」の対策はすでにお済みでしょうか?さまざまなメディアで「ペガサス」について取り上げられたのですでに対策済みの方も多いと思いますが、Lookoutが発信した「ペガサス」に関する情報を以下にまとめました。
  1. 「ペガサス」とは何ですか?
    AppleのiOSに存在する3つの脆弱性「トライデント」を攻撃する、非常に高度なモバイルマルウェアです。攻撃者はSMSなどでリンクを送信します。それらリンクを誤ってクリックすると、ユーザーがわからないうちにiOSがジェイルブレイクされ、メール、通話内容、フェイスブック、LINEなどでやりとりしている内容が搾取される恐れがあります。ワンクリックでフィッシングサイトに誘導する攻撃を「ワンクリック詐欺」と言いますが、これは「ワンクリックジェイルブレイク」攻撃とも言えるでしょう。
  1. 「ペガサス」に感染するとどういう被害に合うのですか?
    iOSに標準で搭載される以下の機能が扱うデータが盗み見られる可能性があります。 通話、通話履歴、メール、SMS/MMS、Facetime、カレンダー、位置情報、Keychainパスワード など。
    iOS 標準機能以外でも、以下のアプリで扱うデータが盗み見られる可能性があります。 Gmail、Facebook、LINE、Skypeなど スクリーンショット 2016-09-09 11.19.55
  1. 「ペガサス」に感染しないようにするには何を行ったらいいですか?
    Apple社は8月25日(米国時間)にiOS 9.3.5の緊急アップデートを行っており、3つの脆弱性を修正しました。以下のステップに従い、「ペガサス」対策を行ってください。
    • 個人ユーザー
      Step 1 :iOSを9.3.5にアップデート
      Step 2:AppStoreから、Lookout個人向け製品をダウンロード(すでに利用している場合は、バージョン4.4.8以降にアップデート)
      Step 3:Lookoutアプリを起動して「セキュリティ」の項目が緑になっている場合は、感染していません。「セキュリティ」の項目が黄色になっている場合は、マルウェアに感染している恐れがあります。至急、Lookoutまでお問合せください。 キャプチャStep3
    • 法人ユーザー
      上記は個人ユーザー向けの対策方法で、企業環境で多くのiOS端末を利用している場合は、この方法で対策を行うのは現実的ではありません。企業環境での対策方法については、Lookout営業lookout-jp@lookout.comまでお問い合わせください。なお、Lookout法人向け製品Mobile Endpoint Securityは「ペガサス」に対応済みで、感染を検知するとユーザーおよびIT管理者に通知します。
  1. ペガサスに感染していたらどうしたらいいですか?
    端末の電源を切り、すぐにLookoutまでご連絡ください。
    感染している端末をバックアップしないでください。感染端末をバックアップし、別の端末にリストアすることで別の端末がペガサスに感染してしまいます。
    ペガサスは自己破壊機能を持っており、検知された場合はペガサス自身を消去したり、端末全体をワイプする機能を備えています。バックアップを取ることで自己破壊機能が動作してしまうと、今までどのようなデータが搾取されていたかなど、被害状況を調査することができなくなってしまいます。端末をワイプしたり、ファクトリーリセットで感染した端末を修復したいと思うユーザーは多いと思いますが、これらを行うと被害状況の調査ができなくなります。感染の恐れがある場合は、Lookoutまでご連絡ください。
  1. iOSを9.3.5にアップデートすることで、iOSに感染しているペガサスを駆除できますか?
    いいえ、駆除できません。また、9.3.5にアップデートしてもペガサス感染有無を確認できません。感染の有無や駆除の方法については、上記3番をご確認ください。
  1. MDMを利用していればペガサスから守られますか?
    いいえ。ペガサスは非常に高度なジェイルブレイクを行うため、2016年9月8日現在において、ペガサス自身を検知したり、ペガサスによるジェイルブレクを検知できるMDMはありません。
    MDMは既知のジェイルブレイク手法をベースに検知を行います。ペガサスは未知の脆弱性(ゼロデイ脆弱性)を悪用しているため、MDMではペガサスによるジェイルブレイクを検知できませんでした。一方、Lookoutは既知のジェイルブレイク手法に加え、ファームウェアのアノーマリーを調査するため、このような高度なジェイルブレイクを検知できます。また、LookoutはApple社をはじめとするさまざまなパートナーと協業し、ジェイルブレイクやモバイル脅威の解明を進めているため、脅威に対する対策を迅速に提供することが可能です。
  1. VPN接続を利用していればペガサスから守られますか?
    いいえ、守られません。ペガサスに感染すると、カーネルレベルでの侵害を行うため、VPNを含むすべての暗号化が無効にされ、アプリの通信内容やシステムのパスワードなどの搾取が可能になります。カーネルレベルでの侵害が行われると、ペガサスが「ファンクションフッキング」という手法を使い、正規アプリを改ざんすることで正規アプリ内のすべての通信状況を非暗号化された状態で傍受することが可能になります。
スクリーンショット 2016-09-09 10.35.08

投稿者

Lookout

コメントする

送信


0 コメント