「iOS」にプロファイルを介した攻撃のおそれ--セキュリティ企業が警告

　モバイルOSを狙うマルウェアに攻撃されているのは一般に「Android」だが、セキュリティ企業Skycure Securityの研究者らによると、「iOS」もまったく危険がないわけではないという。

　iOSのプロファイル（別名「mobileconfig」ファイル）は、移動体通信事業者が電子メールやWi-Fiといった機能の主要な設定を行うのに使われている。だが、イスラエルのSkycureが現地時間3月12日のブログ投稿で明らかにしたところでは、これらのファイルが攻撃者に悪用されると、本来なら厳重なAppleのセキュリティが破られてモバイル端末が乗っ取られるおそれがあるという。

　このプロセスは、典型的なマルウェア感染の手順と似たものになる。

　攻撃者は、ユーザーに無料で何かを約束することによって、悪意あるウェブサイトを訪れるよう誘う可能性がある。誘い出されたユーザーは、無料のアイテムを得るため、自身の端末に設定を行うmobileconfigファイルをインストールするよう求められる。この悪意あるプロファイルがインストールされたのち、攻撃者は端末に自由にアクセスできるようになる。

　大半のフィッシング攻撃と同様、成功率は、こうした偽りの誘い文句にどれほどの人数が引っ掛かるかによって変わってくる。

　ただし、Skycureが実施した調査では、多くの移動体通信事業者が実際、ユーザーに対し、データプランにアクセスする手段としてmobileconfigファイルをインストールするよう求めていることが明らかになった。Skycureによると、こうした手順では常に厳重なセキュリティを施しているわけではないという。

　Skycureは、数件のAT&T店舗でこうした手順に気づいた。

　われわれは、「iPhone」を所有する従量制契約の顧客として、自分の端末にプロファイルをダウンロードしてインストールするよう指示された。AT&Tの説明によると、ユーザーはhttp://unlockit.co.nzから暗号化されていない経路を通じてプロファイルをダウンロードするよう推奨される。端末上にAPN（Access Point Name）設定を行うこのモバイル設定のインストールは、AT&Tのデータネットワークへのアクセスを許可する上で必須となっている。ある店舗では、AT&Tの販売員が実際にわれわれの携帯電話を手に取り、公共のWi-Fiネットワークを使って前述のプロセスを行ったが、これでは中間者攻撃の格好の標的になってしまう。

　そのような中間者攻撃では、mobileconfigファイルを悪意あるファイルに変えることで、端末を脆弱な状態にしておける。Skycureは、AT&Tにこの問題を警告したと述べ、AT&T店舗でmobileconfigファイルをインストールする手順が厳格化されるだろうとしている。