モバイルOSを狙うマルウェアに攻撃されているのは一般に「Android」だが、セキュリティ企業Skycure Securityの研究者らによると、「iOS」もまったく危険がないわけではないという。
iOSのプロファイル(別名「mobileconfig」ファイル)は、移動体通信事業者が電子メールやWi-Fiといった機能の主要な設定を行うのに使われている。だが、イスラエルのSkycureが現地時間3月12日のブログ投稿で明らかにしたところでは、これらのファイルが攻撃者に悪用されると、本来なら厳重なAppleのセキュリティが破られてモバイル端末が乗っ取られるおそれがあるという。
このプロセスは、典型的なマルウェア感染の手順と似たものになる。
攻撃者は、ユーザーに無料で何かを約束することによって、悪意あるウェブサイトを訪れるよう誘う可能性がある。誘い出されたユーザーは、無料のアイテムを得るため、自身の端末に設定を行うmobileconfigファイルをインストールするよう求められる。この悪意あるプロファイルがインストールされたのち、攻撃者は端末に自由にアクセスできるようになる。
大半のフィッシング攻撃と同様、成功率は、こうした偽りの誘い文句にどれほどの人数が引っ掛かるかによって変わってくる。
ただし、Skycureが実施した調査では、多くの移動体通信事業者が実際、ユーザーに対し、データプランにアクセスする手段としてmobileconfigファイルをインストールするよう求めていることが明らかになった。Skycureによると、こうした手順では常に厳重なセキュリティを施しているわけではないという。
Skycureは、数件のAT&T店舗でこうした手順に気づいた。
われわれは、「iPhone」を所有する従量制契約の顧客として、自分の端末にプロファイルをダウンロードしてインストールするよう指示された。AT&Tの説明によると、ユーザーはhttp://unlockit.co.nzから暗号化されていない経路を通じてプロファイルをダウンロードするよう推奨される。端末上にAPN(Access Point Name)設定を行うこのモバイル設定のインストールは、AT&Tのデータネットワークへのアクセスを許可する上で必須となっている。ある店舗では、AT&Tの販売員が実際にわれわれの携帯電話を手に取り、公共のWi-Fiネットワークを使って前述のプロセスを行ったが、これでは中間者攻撃の格好の標的になってしまう。
そのような中間者攻撃では、mobileconfigファイルを悪意あるファイルに変えることで、端末を脆弱な状態にしておける。Skycureは、AT&Tにこの問題を警告したと述べ、AT&T店舗でmobileconfigファイルをインストールする手順が厳格化されるだろうとしている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス