Appleは先頃、同社の「iOS」に存在する「Quicksand」脆弱性、すなわち「CVE-2015-5749」に対処するアップデートを発表した。この脆弱性は、同OSのサンドボックスに存在する欠陥を突くことで、第三者が企業のモバイルアプリで用いられる資格情報にアクセスできるようになるというものだ。
モバイルセキュリティ企業Appthorityによると、このゼロデイ脆弱性は、モバイル機器管理(MDM)が導入されたクライアント機器と、MDMの「Managed App Configuration」という機能(各種の設定やデータのコンフィグレーション、および保存のための機能)を用いて配布されるすべてのアプリケーションに影響を与えるという。
企業のIT部門はしばしばMDM機能を用いて、MDMクライアント、および企業のモバイル機器向けに配信したアプリのアカウントを設定するために必要な資格情報や認証情報をプッシュしている。これにより、企業のスマートフォンやタブレットの設定をリモートで行えるようになるため、企業はアプリやシステムを従業員に使用させるうえでの手軽かつ比較的迅速な方法として利用している。
しかし、最近発見された「iOS」内にあるサンドボックスの脆弱性を突くことで、モバイルアプリや、MDMベンダーのアプリ自体からこういった機密情報にアクセスできるようになる。資格情報は誰でも理解できる形式で格納されているため、この脆弱性を悪用したアプリによって、IT部門の送信した該当情報は取得されてしまうことになる。
AppthorityのEnterprise Mobility Threat Teamはセキュリティアドバイザリで、この脆弱性により、悪意を持った人物がスピアフィッシング攻撃を仕掛けたり、パッチの適用されていない機器にインストールされそうなアプリ(生産性ソフトウェアなど)を開発する可能性があると述べている。こうしたアプリでは、MDMストリームを監視し、共有ディレクトリに設定が書き込まれるのを待つことになる。
その後、「iTunes Store」を通じて配信される、悪意を持ったアプリが該当データを収集し、攻撃者の元に送信することになる。
同脆弱性の深刻度に関しては、業務用の電子メールやビジネス文書にアクセスするためのアプリや、会社のネットワークにアクセスするためのブラウザアプリを使用しているかどうかという、企業ユーザーのユースケースに依存している。企業が管理する機器上のアプリに関するAppthorityの世界規模の調査によると、MDMによるコンフィグレーションに依存するアプリの67%はサーバの認証情報を参照しており、このことは企業にとって深刻なセキュリティリスクになり得るという。
Appthorityは同脆弱性に対処するパッチを作成するためにAppleのセキュリティチームと協力した。その結果、同脆弱性は最新の「iOS 8.4.1」で対処された。ユーザーは同脆弱性を用いた攻撃を避けるために、この最新アップデートを適用するよう推奨されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。