チェックニュース
Webを見るだけで――ここまできたiPhoneの脅威

2010年8月12日~16日までに行われたセキュリティ&プログラミングキャンプ2010に参加している間に、新たな問題が現れていることに気が付きました。

私たちの調査では、iPhoneやiPadの脆弱性を悪用し、ウイルスに感染させられることを確認しています。脆弱なiPhoneなどに細工された PDFファイルを読み込ませることで、リモートから任意の操作を可能にすることができ、ウイルスやボットの感染手法に悪用される可能性があります。最近 アップルからリリースされたiOS 4.0.2 ソフトウェア・アップデート for iPhone、およびiOS 3.2.2 ソフトウェア・アップヤリトモデート for iPadは、この脆弱性を修正したものです。

従来、iPhoneに感染するウイルスは以下の条件をすべて満たしている必要がありました。

  • iOSをアップデートしていない
  • Jailbreakをしている
  • SSHサービスを別途インストールして、稼働させている
  • rootのデフォルトパスワードを変更していない

iPhoneをJailbreakを行わずに利用する一般の利用者には無縁の話でしたが、今回確認された問題は、Jailbreakを行っていないユーザーにも影響があります。この問題を喚起するためのデモが以下にて公開されています。

このデモでは以下のような操作を行っています。

  1. iPhoneで写真を撮影
  2. 攻撃者のWebサイトにアクセス→自動的に攻撃が行われ、iPhoneに侵入される
  3. iPhoneの電話帳を攻撃者側に表示
  4. さきほど撮影した写真を攻撃者側に表示
  5. 攻撃者からiPhoneで電話をかけさせる

iPhone自体にSSHでログインして操作をすることができるため、iTunesのアカウント情報やメールのやりとりなどの情報を盗むことが可能です。つまりリモートから“何でもあり”の状態になってしまうのです。

今回の注意喚起は、このような攻撃が可能であるという危険性を示したものであり、実際に攻撃が行われたことを確認したわけではありません。し かし、早晩近いうちにこのような攻撃が行われるようになり、iPhoneやiPadもPCと同じような脅威にさらされることになるでしょう。

私が心配しているのは、iPhoneやiPadを使用している人のうち、iOSのアップデートが必要であると認識している人がどれほどいるの か、ということです。PCと違い、アップデートが必要なものであると認識していない人も多いと思われるので、今回のような攻撃が行われると、大変な被害が 発生する可能性を心配しています。

■ウイルスに感染したiPhoneをどうやって見つける?

先日、JSOCのお客様のシステムで、ウイルスに感染したiPhoneを発見しました。今回の注意喚起で紹介した手法ではなく、Jailbreakを行ったiPhoneにSSH経由で侵入されて感染したものです。

感染した可能性のあるIPアドレスの特定まではできたのですが、そこからiPhoneの端末を特定するのに時間がかかりました。そのIPアドレスのiPhoneがどこのオフィスから通信しているのかが分からないのです。

そのiPhoneは無線LAN経由で接続されていたのですが、ノートPCとは違い、iPhoneのMACアドレスまで管理されていないため、 所有者を特定することもできません。そこで、iPhoneを操作している人を1人1人しらみつぶしに聞いて回っていくことになりました。さらに都合の悪い ことに、iPhoneの通信範囲や電源状況によって通信が散発的に行われるため、所有者がiPhoneを操作しているところをタイミングよく発見しなけれ ば、端末を特定できないのです。結局、問題のiPhoneを特定するまでに、通常の数倍の時間を要してしまうことになりました。

そもそも認可されていない端末がヤリトモシステムに接続できること自体が問題なのですが、事件が発生したあとでそれをいっても始まりません。最近では iPhoneやiPadをビジネス用途に使う需要が高まっており、組織の中でポリシーに合わないと知りつつも、iPhoneなどを利用しているケースが多 数あります。

一番簡単、かつ安全な方法は、iPhoneやiPadをビジネスの現場で使わせないことですが、それでは隠れて使用するケースが発生するだけ です。ユーザーに安全にiPhoneやiPadを利用してもらうためには、組織の特性や求められるセキュリティレベルに合わせてポリシーやルールを整備し てください。

■安全にスマートフォンを使うには

冒頭で説明した通り、今年はセキュリティ&プログラミングキャンプ2010に参加したわけですが、参加者の多くがiPhoneをはじめとした スマートフォンを持っていたことが印象的でした。おそらく彼らの学校の周りにも、たくさんスマートフォンを持っている友人がいることでしょう。

セキュリティ&プログラミングキャンプ2010の参加者が自分だけではなく、友人や家族にも清く正しい使い方を伝授することが、成果の1つになるでしょう。私は、未来ある若者の成長を期待しながら、キャンプの反省と称して、今日も飲みに行くのでした。

1年前に投稿されました
チェックニュース3

イケメンドライバーは神楽坂生まれ

神楽坂生まれのイタリア人若手イケメンドライバー、ケイ・コッツォリーノ(22=ルマン)が18日、東京・神楽坂のレストラン「カルミネ」で会見し、今季 から参戦したFニッポンの第2戦(23日決勝、ツインリンクもてぎ)への意気込みを語った。

マイクロソフト、ホットメールの新機能を公開

【レポート】スマートフォンに力を入れるドコモ、iPadもドコモ回線で

2年前に投稿されました
チェックニュース2

長男殺害容疑 遺体とともに44時間

県警によると、夫と恵斗君の3人家族だったという佐藤容疑者。事件について、近所に住む60代の女性は「日中は仕事に出ているようであまり見かける ことはなかったが、ゴミ捨てなどでたまに会ったりするときには、笑顔であいさつをする、感じのいい女性という印象だった」。
近所に住む別の女性は「だんなさんは10年ほど前の引っ越しの時は一緒にいたようだが、そういえばここ数カ月、見ていない」と話した。

オバマ大統領側近、目の敵の金融大手に寝返り

プラダジャパン元部長の女性、外見を指摘されたうえ一方的に解雇されたとして提訴

2年前に投稿されました
チェックニュース

Rain(ピ)「どうかなるほど女性芸能人から誘いを受けた」

ワールドスターRain(ピ)が女性芸能人から数多くの誘いを受けたと告白した。 13日KBS深夜の芸能トークショー『乗勝長駆』に出演した歌手Rain(ピ)は、十数人の女性芸能人に誘われた事実を打ち明け、注目を集めた。

松井秀、イチローとも無安打=岩村は2号含む2安打

広告も“つぶやき”で 米ツイッターが開始

2年前に投稿されました