サイバーセキュリティ企業Check Pointは、モバイルデバイス管理(MDM)ソリューションで管理されている「iPhone」や「iOS」のユーザーに悪質なアプリをダウンロードさせるように導く恐れのある脆弱性を発見したと発表した。同社はこれを「SideStepper」と名付けている。
「iOS 9」では、ユーザーが誤って不正なアプリをインストールしないよう、企業の開発者証明書を信頼するためのデバイス設定で複数のステップが必要となっている。SideStepperは、MDMを利用してインストールされたエンタープライズアプリがこのセキュリティ強化策の対象外であることを悪用する。これらの証明書は、企業の福利厚生アプリや販売アプリなどのエンタープライズアプリが正当であることを証明するもの。
スマートフォンに悪質なエンタープライズアプリをインストールさせるために、攻撃者はユーザーにリンク付きのテキストメッセージまたは電子メールを送信するなどのフィッシング攻撃によって、リンクをクリックさせて不正な設定プロフィールをインストールさせる。
そんな手口にひっかかるのは、何の知識もない人だけだと思うかもしれない。しかし、ハッカーが上司の電子メールアカウントになりすまし、新しいアカウントを設定するように指示してきたらどうだろうか。朝のコーヒーを飲む前に通勤電車の中でいらいらしながらメールを処理している時なら、何も考えずに従ってしまうかもしれない。
不正な設定プロフィールがインストールされると、攻撃者はデバイスとMDMソリューションとの通信に対して中間者攻撃を仕掛け、MDMコマンドを乗っ取って模倣することにより、悪質なアプリをインストールできるようになる。
Appleによると、この攻撃は「iOS」の不具合には当てはまらないという。
「このような有害となり得るコンテンツについて、ユーザーに警告を与える保護策がiOSには組み込まれている」とAppleの広報担当者はコメントした。また、Appleはユーザーに対し、App Storeなどの信頼できるサイトのみからダウンロードを実行することを推奨している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
