教育機関や企業を対象とするAppleのデバイス導入支援プログラム「Device Enrollment Program(DEP)」が、端末に関する情報を盗むために利用される恐れがあるという。この問題を発見した研究者らが、米国時間9月27日に明らかにした。
「iPhone」「MacBook」「iPad」などのApple製品は、DEPを通して、シリアルナンバーを利用して登録、認証される場合が多い。企業や組織はDEPを使用して、貸与する端末を管理する。教員は学校が貸与するiPadを管理し、ニューヨーク市警察はカスタムアプリをiPhoneに配布している。
Duo Securityのシニアリサーチおよび設計エンジニアであるJames Barclay氏と、Duo LabsのディレクターであるRich Smith氏は、シリアルナンバーさえ入手すれば、DEPで導入された端末から機密情報を取得できることを発見した。
研究論文によると、両氏は、登録済みの端末のシリアルナンバーを入力してアクティベーションの記録を要求することで、組織の住所や電話番号、電子メールアドレスなどの詳細情報を入手できたという。両氏は9月28日、この研究について、アルゼンチンのブエノスアイレスで開催中のセキュリティカンファレンス「Ekoparty」で詳細を説明する。
シリアルナンバーはさまざまな方法で入手できるが、Smith氏によると、12文字のコードは十分に単純なので、Duo Securityは、考えられるすべてのシリアルナンバーを生成するプログラムを作成できたという。アクティベーション記録の要求には回数制限がないので、攻撃者は何の問題もなく検索を繰り返せると、Smith氏は説明した。
「プログラムを公表するつもりはいないが、これが再現できないことだと思っている振りをするつもりもない。われわれが開発したコードを再現するのは難しくない」(Smith氏)
攻撃者が未登録のシリアルナンバーを入手した場合、そのナンバーで自分の端末を登録し、Wi-Fiのパスワードなど、さらに多くの情報を収集できるという。
Appleは、このシリアルナンバー問題が製品の脆弱性だとは考えていないと述べ、組織がこうした攻撃を抑えるセキュリティ対策を講じるよう促す既存の勧告に言及した。Appleのプログラムに登録される人には、ユーザー認証を要求できる。これには、ユーザー名とパスワード、シリアルナンバーが必要となる。
Duo Securityは5月16日にこの問題についてAppleに伝え、翌17日に受け取ったとの回答を得た。Appleはまだこの問題に対処していないとDuo Securityの研究者は述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力