幕張の夏は暑くて熱かった!
皆さんこんにちは、川口です。今年は猛暑が続いていますが、皆さんは体調を崩したりしていませんか?
気温は“暑い”ですが、幕張には“熱い”夏がやってきました。そう、あの「セキュリティ&プログラミングキャンプ2010」が今年も開催されました。いままではセキュリティコースの企業見学の受け入れ担当としてセキュリティ&プログラミングキャンプに関わってきましたが、今年は講師として最初から最後まで参加してきました。
講師としては初の参加となったセキュリティ&プログラミングキャンプですが、熱くキラキラした眼差しを持った参加者の成長ぶりに日々刺激を受けていました。未来ある若者同士が、このコミュニティを生かして活躍してくれることを願うばかりです。キャンプの模様は取材の記事がありますので、そちらを参照してください。
【参考】
セキュリティ&プログラミングキャンプ2010
http://www.ipa.go.jp/jinzai/renkei/spcamp2010/
今年もアツかった! セキュリティ&プログラミングキャンプ開催(@IT NewsInsight)
http://www.atmarkit.co.jp/news/201008/19/camp.html
iPhoneやiPadの脆弱性を狙う攻撃
2010年8月12日〜16日までに行われたセキュリティ&プログラミングキャンプ2010に参加している間に、新たな問題が現れていることに気が付きました。
【参考】
アップル社製iPhoneやiPadの脆弱性を悪用した攻撃の可能性に関して(ラックによる注意喚起)
http://www.lac.co.jp/info/alert/alert20100812.html
私たちの調査では、iPhoneやiPadの脆弱性を悪用し、ウイルスに感染させられることを確認しています。脆弱なiPhoneなどに細工されたPDFファイルを読み込ませることで、リモートから任意の操作を可能にすることができ、ウイルスやボットの感染手法に悪用される可能性があります。最近アップルからリリースされたiOS 4.0.2 ソフトウェア・アップデート for iPhone、およびiOS 3.2.2 ソフトウェア・アップデート for iPadは、この脆弱性を修正したものです。
従来、iPhoneに感染するウイルスは以下の条件をすべて満たしている必要がありました。
- iOSをアップデートしていない
- Jailbreakをしている
- SSHサービスを別途インストールして、稼働させている
- rootのデフォルトパスワードを変更していない
【注】
Jailbreakの可否については今回説明しませんが、サポートを受けられなくなるのでお勧めしません。
iPhoneをJailbreakを行わずに利用する一般の利用者には無縁の話でしたが、今回確認された問題は、Jailbreakを行っていないユーザーにも影響があります。この問題を喚起するためのデモが以下にて公開されています。
【参考】
スマートフォンに対するドライブバイダウンロード攻撃コンセプト・デモ(LACCOTV)
http://www.youtube.com/watch?v=D54CGLCyxPg
このデモでは以下のような操作を行っています。
- iPhoneで写真を撮影
- 攻撃者のWebサイトにアクセス→自動的に攻撃が行われ、iPhoneに侵入される
- iPhoneの電話帳を攻撃者側に表示
- さきほど撮影した写真を攻撃者側に表示
- 攻撃者からiPhoneで電話をかけさせる
iPhone自体にSSHでログインして操作をすることができるため、iTunesのアカウント情報やメールのやりとりなどの情報を盗むことが可能です。つまりリモートから“何でもあり”の状態になってしまうのです。
今回の注意喚起は、このような攻撃が可能であるという危険性を示したものであり、実際に攻撃が行われたことを確認したわけではありません。しかし、早晩近いうちにこのような攻撃が行われるようになり、iPhoneやiPadもPCと同じような脅威にさらされることになるでしょう。
私が心配しているのは、iPhoneやiPadを使用している人のうち、iOSのアップデートが必要であると認識している人がどれほどいるのか、ということです。PCと違い、アップデートが必要なものであると認識していない人も多いと思われるので、今回のような攻撃が行われると、大変な被害が発生する可能性を心配しています。
ウイルスに感染したiPhoneをどうやって見つける?
先日、JSOCのお客様のシステムで、ウイルスに感染したiPhoneを発見しました。今回の注意喚起で紹介した手法ではなく、Jailbreakを行ったiPhoneにSSH経由で侵入されて感染したものです。
感染した可能性のあるIPアドレスの特定まではできたのですが、そこからiPhoneの端末を特定するのに時間がかかりました。そのIPアドレスのiPhoneがどこのオフィスから通信しているのかが分からないのです。
そのiPhoneは無線LAN経由で接続されていたのですが、ノートPCとは違い、iPhoneのMACアドレスまで管理されていないため、所有者を特定することもできません。そこで、iPhoneを操作している人を1人1人しらみつぶしに聞いて回っていくことになりました。さらに都合の悪いことに、iPhoneの通信範囲や電源状況によって通信が散発的に行われるため、所有者がiPhoneを操作しているところをタイミングよく発見しなければ、端末を特定できないのです。結局、問題のiPhoneを特定するまでに、通常の数倍の時間を要してしまうことになりました。
そもそも認可されていない端末がシステムに接続できること自体が問題なのですが、事件が発生したあとでそれをいっても始まりません。最近ではiPhoneやiPadをビジネス用途に使う需要が高まっており、組織の中でポリシーに合わないと知りつつも、iPhoneなどを利用しているケースが多数あります。
一番簡単、かつ安全な方法は、iPhoneやiPadをビジネスの現場で使わせないことですが、それでは隠れて使用するケースが発生するだけです。ユーザーに安全にiPhoneやiPadを利用してもらうためには、組織の特性や求められるセキュリティレベルに合わせてポリシーやルールを整備してください。
安全にスマートフォンを使うには
冒頭で説明した通り、今年はセキュリティ&プログラミングキャンプ2010に参加したわけですが、参加者の多くがiPhoneをはじめとしたスマートフォンを持っていたことが印象的でした。おそらく彼らの学校の周りにも、たくさんスマートフォンを持っている友人がいることでしょう。
セキュリティ&プログラミングキャンプ2010の参加者が自分だけではなく、友人や家族にも清く正しい使い方を伝授することが、成果の1つになるでしょう。私は、未来ある若者の成長を期待しながら、キャンプの反省と称して、今日も飲みに行くのでした。
Profile
川口 洋(かわぐち ひろし)
株式会社ラック
チーフエバンジェリスト兼シニアセキュリティアナリスト
CISSP
ラック入社後、IDSやファイアウォールなどの運用・管理業務をへて、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。
アナリストリーダとして、セキュリティイベントの分析とともに、IDS/IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。
現在、チーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。また、YouTubeのlaccotvにて、「川口洋のつぶやき」に出演中。
- 「DNS通信」記録していますか?――万一に備えたDNSクエリログの保存方法
- Web広告からのマルウエア感染「Malvertising」にどう対処すべきか
- 中の人が振り返る「Hardening 10 ValueChain」――学びにつながった「トラブルの数々」とは
- 無慈悲な専門家チーム「kuromame6」の暗躍に負けず勝利をつかんだチームは?
- 外部リソースの活用もポイントに、「Hardening 10 MarketPlace」開催
- Hardening Projectから派生した「MINI Hardening Project」に行ってみた!
- 「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目
- アップデート機能を悪用した攻撃に対抗セヨ!
- 工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート
- ウイルスとは言い切れない“悪意のあるソフトウェア”
- 2013年のセキュリティインシデントを振り返る
- ここが変だよ、そのWeb改ざん対応
- きっかけは不正侵入――私がセキュリティ業界に足を踏み入れたワケ
- CMSが狙われる3つの理由
- FacebookやApple、MSまで……Javaの脆弱性を狙う攻撃の手口
- Hardening One、8時間に渡る戦いの結果は?
- そのときStarBEDが動いた――「Hardening One」の夜明け前
- ロシアでわしも考えた
- 実録、「Hardening Zero」の舞台裏
- ちょっと変わったSQLインジェクション
- 官民連携の情報共有を真面目に考える
- アプリケーションサーバの脆弱性にご注意を
- IPv6、6つの悩み事
- スパムが吹けば薬局がもうかる
- JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ
- 東日本大震災、そのときJSOCは
- ペニーオークションのセキュリティを斬る
- 2010年、5つの思い出――Gumblarからキャンプまで
- 9・18事件にみる7つの誤解
- 曇りのち晴れとなるか? クラウド環境のセキュリティ
- Webを見るだけで――ここまできたiPhoneの脅威
- 不安が残る、アドビの「脆弱性直しました」
- ともだち373人できるかな――インターネットメッセンジャーセキュリティ定点観測
- 実録・4大データベースへの直接攻撃
- Gumblar、いま注目すべきは名前ではなく“事象”
- Gumblarがあぶり出す 「空虚なセキュリティ対策」
- 新春早々の「Gumblar一問一答」
- 実はBlasterやNetsky並み?静かにはびこる“Gumblar”
- ECサイトソフトウェアはなぜ更新されないのか
- 狙われるphpMyAdmin、攻撃のきっかけは?
- 学生の未来に期待する夏
- 米韓へのDoS攻撃に見る、検知と防御の考え方
- 分かっちゃいるけど難しい、アカウント情報盗用ボット対策
- 狙われる甘〜いTomcat
- 表裏一体、あっちのリアルとこっちのサイバー
- 世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
- 急増したSQLインジェクション、McColo遮断の影響は
- ○×表の真実:「検知できる」ってどういうこと?
- ところで、パッケージアプリのセキュリティは?
- レッツ、登壇――アウトプットのひとつのかたち
Copyright © ITmedia, Inc. All Rights Reserved.