| IT責任者 2016年8月29日


2016年8月29日

iOSにおけるトライデント脆弱性について、セキュリティ責任者が知っておくべき3つのポイント

By Lookout

先週、LookoutはCitizen Labと共同で高度な標的型モバイル攻撃に関する報告書を公開しました。この攻撃はiOSを標的とし、3つのゼロデイ脆弱性「トライデント」を悪用したものです。この攻撃が実行されると攻撃者はユーザーに知られることなくiOS端末をジェイルブレイクできるほか、Gmail、Facebook、Skype、WhatsApp、FaceTime、Line、Mail.Ruなどのさまざまなアプリでやり取りされている内容を傍受することが可能になります。
今回の攻撃の出現は、モバイルプラットフォームが機密情報の詐取に悪用されやすい環境であることを示唆しています。また、資金力の豊富な攻撃者が日常的にこのモバイル環境を悪用していることも指摘されました。
脅威の概要
Citizen Labの報告によると、最近になってiOSにおける3つのゼロデイ脆弱性を悪用したiOS版Pegasusを確認しました。また、「サイバー戦争」を専門と名乗る企業、NSO Groupがこのモバイル端末を狙ったスパイ製品Pegasusを開発していると指摘しています。なお、同社はAndroidおよびBlackberry向けにも同様の製品を宣伝しています。
この攻撃では、iOSにおける3つのゼロデイ脆弱性を悪用して端末をジェイルブレイクし、その端末が行っている通信内容を傍受することが可能になります。Pegasusは過去に検出されたモバイルエンドポイント攻撃の中でも最も巧妙化されていると言えるでしょう。
モバイル端末にはユーザーの生活に密着した機能が搭載されており、常時接続(Wi-Fiや3G/4G)、音声通話、カメラ、メール、メッセージ送信、GPS、パスワード、アドレス帳などモバイルならではの機能が1つの端末に集約されています。Pegasusはこうしたモバイルの特性を利用し、巧妙な手法で攻撃します。
Lookoutは、Citizen LabおよびAppleのセキュリティチームと協業し、Appleの素早い対応によりトライデント脆弱性を修正するiOS 9.3.5のパッチが即時にリリースされました。
すべてのiOSユーザーはこの最新版へのアップデートを直ちに実行してください。なお、Lookout Mobile Endpoint Securityはこの脅威に対応済みであり、感染を検知した場合はユーザーに警告が表示されます。
企業におけるセキュリティ責任者は、今回の攻撃から得た次の3つの教訓をぜひ活かしてほしいと思います。
企業スパイ活動は巧妙化を続け、モバイル端末と企業の知的財産がその標的となっている
Lookoutが検出したPegasusサンプルは反体制の活動家を標的に送り込まれたものでしたが、同様の攻撃はターゲット型攻撃(APT攻撃:Advanced Persistent Threats)として企業にも仕掛けられていることがわかっており、企業インフラへのアクセスやIPアドレス、顧客情報の搾取などさまざまなスパイ活動を目論んでいたことが分かっています。こうしたエクスプロイトは標的型攻撃を実行するにあたり理想的なツールであり、この種のソフトウェアを購入するユーザーは上記に述べたような攻撃を使用し、スパイ活動をしていると思われます。
セキュリティ企業のZerodiumはiOS脆弱性を見つけたチームに100万ドルの懸賞金を支払っているなど、脆弱性攻撃に関連したビジネスに高額の値段がつけられています。また、Pegasusの現行価格はおよそ300ライセンスで800万ドルという高価格のため、平均的なモバイルユーザーを標的にするよりはむしろ、高価値を持つと思われる端末のユーザーがその標的となると考えられます。つまり、これを買い求める顧客は資金が潤沢にあり、高額を支払うだけの強い動機があると考えていいでしょう。
高価値の情報を持つと思われるCEOや研究部門のトップを標的になる一方で、多くの一般社員もまた攻撃対象となる可能性があります。なぜなら、一般社員が所有するセキュリティ対策のないモバイル端末でも認証情報を使って企業ネットワークにアクセスし、企業の機密データにアクセスできることが多いため、攻撃者にとって最も狙いやすい攻撃対象となるからです。
SMS経由のフィッシングが手口に使用されている
Pegasus攻撃の第一段階はまず、SMS経由のフィッシング攻撃です。SMSの発信元番号を偽装した後、攻撃者はドメインを匿名化したSMSメッセージを発信し、攻撃対象のiPhoneをマルウェア感染させます。
攻撃を受けた端末が遠隔操作でジェイルブレイクされるとすぐに、端末上の情報への不正アクセスが始まります。通話やテキストメール、カレンダー、連絡先といった情報はすべてコピーされ、攻撃者に送信されます。このソフトウェアは端末のカメラやマイクを有効化できるため、端末周辺で行われる会話の傍受も可能です。またユーザーの動きを追跡でき、エンドツーエンドで暗号化されているチャット参加者のメッセージを読み取ります。遠隔操作で攻撃対象者のiPhoneをジェイルブレイクするため、攻撃者がアクセスできる情報の内容は、ラップトップコンピュータに不正アクセスする場合より格段にプライバシーの度合いが高くなります。
攻撃対象のスマートフォンに不正アクセスした後、脅威を悪用する攻撃者が取る行動はさまざまです。例えば、競合他社や反政府体制が攻撃対象である場合、認証情報や通信内容、Gmail、Skype、カレンダーなどのビジネスアプリでの通信内容が攻撃対象となるでしょうし、別のケースでは極秘の技術情報や財務情報、あるいは顧客情報が対象になるでしょう。
一部の企業ではスマートフォンを仕事とプライベートの両方で利用する従業員も多く、Pegasusのような攻撃を受ける可能性は高くなります。たった1回、悪質なSMSメッセージをタップしただけで攻撃者に「王国への鍵」とも言える重要情報を手渡してしまうことになるのはPegasusの攻撃で証明されている通りです。
Pegasusを始めとするモバイル脅威をブロックするために、Lookout Mobile Endpoint Securityをご利用ください
Lookout Mobile Endpoint Securityは高度なジェイルブレイク検知機能を備え、Pegasus攻撃による不正アクセスを検知し、ユーザーに通知します。Lookout Mobile Endpoint Securityの機能概要は以下の通りです。
  1. 異常な振る舞いをする端末の検出 — OSおよびファイルシステムのフィンガープリントを取得し、Lookoutのデータセットと比較することでOSやファイルシステムの異常を検知します。
  2. 脆弱性アセスメント — モバイル端末の高度なルート化やジェイルブレイクを検知します。
  3. ネットワークセキュリティ — ネットワーク通信を監視し、危険な接続が検知された場合は管理者に通知します。
  4. アプリスキャン— マルウェアや「コンプライアンス違反」アプリ(悪質アプリではないものの、機密情報を漏えいする恐れのあるアプリ)を検知します。
Pegasus攻撃を受けていないか調査したいとお考えのお客さまはぜひLookoutにご相談ください。
ルックアウト・ジャパン株式会社
lookout-jp@lookout.com

投稿者

Lookout