「iOS」の保護策を回避する脆弱性「SideStepper」、セキュリティ企業が発表

Laura Hautala (CNET News) 翻訳校正: 編集部2016年04月04日 09時44分

 サイバーセキュリティ企業Check Pointは、モバイルデバイス管理(MDM)ソリューションで管理されている「iPhone」や「iOS」のユーザーに悪質なアプリをダウンロードさせるように導く恐れのある脆弱性を発見したと発表した。同社はこれを「SideStepper」と名付けている。

 「iOS 9」では、ユーザーが誤って不正なアプリをインストールしないよう、企業の開発者証明書を信頼するためのデバイス設定で複数のステップが必要となっている。SideStepperは、MDMを利用してインストールされたエンタープライズアプリがこのセキュリティ強化策の対象外であることを悪用する。これらの証明書は、企業の福利厚生アプリや販売アプリなどのエンタープライズアプリが正当であることを証明するもの。

 スマートフォンに悪質なエンタープライズアプリをインストールさせるために、攻撃者はユーザーにリンク付きのテキストメッセージまたは電子メールを送信するなどのフィッシング攻撃によって、リンクをクリックさせて不正な設定プロフィールをインストールさせる。

 そんな手口にひっかかるのは、何の知識もない人だけだと思うかもしれない。しかし、ハッカーが上司の電子メールアカウントになりすまし、新しいアカウントを設定するように指示してきたらどうだろうか。朝のコーヒーを飲む前に通勤電車の中でいらいらしながらメールを処理している時なら、何も考えずに従ってしまうかもしれない。

 不正な設定プロフィールがインストールされると、攻撃者はデバイスとMDMソリューションとの通信に対して中間者攻撃を仕掛け、MDMコマンドを乗っ取って模倣することにより、悪質なアプリをインストールできるようになる。

 Appleによると、この攻撃は「iOS」の不具合には当てはまらないという。

 「このような有害となり得るコンテンツについて、ユーザーに警告を与える保護策がiOSには組み込まれている」とAppleの広報担当者はコメントした。また、Appleはユーザーに対し、App Storeなどの信頼できるサイトのみからダウンロードを実行することを推奨している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]