FFRI Security BLOG

iOSのセキュリティについて今一度考える

○はじめに

基礎技術研究室の西尾です。
この度、2015年10月28~29日に行われる国際セキュリティカンファレンス「CODE BLUE 2015」にて、「iOSマルウェアの動向と専用ガジェットによるマルウェア検知 」というテーマで発表させて頂くことになりました。そこで今回は、iOSセキュリティの現状についてご紹介させて頂きます。

○iOSはなぜ安全だと考えられて来たのか

一般的にiOSがAndroidなどと比べ、安全だと考えられている理由としてインシデントの少なさが挙げられると思います。専門的な観点からこの理由に根拠を加えるとすれば、「アプリの供給元をApple公式のApp Storeに限定している点」や「iOSの根本的な構造として、全てのアプリをサンドボックス(他のアプリとは隔離された領域)上で動作させている点」などが挙げられます。

App Storeでは厳しい審査が行われ、不正な動作をするアプリについては、リジェクト(差し戻し)が行われます。

仮にこれを突破したとしてもiOSの厳格なサンドボックス構造でアプリ間のリソースアクセスは極めて限定される事になります。

主にこの二点で、安全神話は成り立っていると言えます。実際、これまでiOSへの攻撃は数えるほどしか観測されておらず、特に国内では大規模な被害は報告されてきませんでした。


○如何にしてiOSは攻略されるのか

ではここで「jailbreak(脱獄)」について考えてみましょう。iPhoneユーザーであれば一度は耳にしたことがあるのではないでしょうか。jailbreakとはその名の通り、iOSの厳格なセキュリティ機構(jail)を突破(break)する行為です。jailbreakにより、本来制限されているiOSの機能を利用できるようにすることで非jailbreak端末では不可能な機能を持ったアプリの開発が可能になるなど、国内外でも高い人気が有ります。

しかしjailbreakは、便利さと引き換えにセキュリティ上の大きな危険を孕んでいます。前述の通り、jailbreakは本来制限されている機能を利用するためにiOSの厳格なセキュリティ機構を意図的に突破し、無効にしている状態です。iOSではセキュリティ機構によりアプリ内の情報を保護したり、過度な権限の付与によるシステム破壊を抑制しています。これらが機能しなくなると、単純な攻撃が大きな被害に発展する可能性が極めて高くなり、安全神話を支える柱の内の一つが機能していない事になります。

更に、jailbreak済み端末向けのサードパーティーストアも発達しています。これにより、審査が行われないまま不正なアプリがいつでも拡散可能な状態となっています。

2015年9月には実際にjailbreak済み端末を標的としたKeyRaiderという不正なアプリがサードパーティーストアで公開され、22万台以上の端末がこれに感染し、Apple IDなどの情報を窃取されました。iOSはカーネル領域に多くの問題を抱えていると言われており、修正と突破のイタチごっこが続いています。

jailbreakしたことが原因である攻撃については、jailbreakしない、もしくは正規iOSにリペアすれば抑止できます。

しかし、jailbreakしていない正規のiOSに対しても攻撃が可能だとすればどうでしょうか。
実際に事例が存在します。

iOS Developer Enterprise Program(以下iDEP)という、iOS端末を業務利用するために社内限定でアプリを配布することを前提としたプログラムに法人登録すれば、安全神話を支えるApp Storeを通すこと無くアプリをWEBサイトなどで配布することが可能です。
ただし、もう一つの柱である保護機能が有効であるため、攻撃者が窃取できる情報はパーミッション要求により許可されている限定的な情報(連絡先、端末情報等)になります。
これを悪用し、不正なアプリをインストールさせる攻撃が登場しました。

この方法は瞬く間に攻撃者に浸透しました。2014年にはPCとiOSとの同期処理を悪用し、PCからiOS端末にUSB経由で感染を広げるマルウェアも確認されました。いつも使用しているPCにiOS端末を接続しただけで、マルウェアがインストールされるという事で非常に話題になりました。他にもワンクリック詐欺アプリなど国内でも攻撃が観測されるようになりました。正規のiOSに対して攻撃が可能だと判明し、攻撃者は更に巧妙な手口を用意することが予測されます。

2015年には実際に前述のような巧妙な手口を使った攻撃が観測されています。イタリアの情報技術会社Hacking Teamが開発したとされるNewsstandに偽装したiOS向けマルウェアでもiDEPが使用され様々なパーミッション要求を行い、政府関係者などの端末から情報を窃取していたとされています。また、中国ではiOSアプリを開発する代表的なソフトウェアであるXcodeに偽装した不正ソフトが配布され、これを利用して開発されたiOSアプリに情報を窃取するコードが勝手に埋め込まれる事件が発生しました。これにより800種類以上の不正コードを含んだアプリがApp Storeに流入しました。jailbreakしていない端末であっても攻撃対象に十分なり得るという事が言えます。

○FFRIの研究について

当社は前述のようなjailbreakされていない端末に対する「攻撃」とその「防衛方法」について研究を行いました。この研究の結果、既存の攻撃よりも更に凶悪なマルウェアが技術上作成可能であることが分かりました。当社はこの攻撃手法が攻撃者に渡る前に防衛方法を確立すべきだと考え、これらのマルウェアを検出できる手法を研究しています。 詳細はCODE BLUE 2015後に開示されるレポートを御覧ください。

○最後に

OSの業務利用が進む中で安全神話が崩壊しつつあるという認識を持ち、他のプラットフォーム同様、防衛策があるべきであると考えています。

関連記事

国際セキュリティカンファレンス「CODE BLUE 2015」

FFRIのエンジニアが情報セキュリティ国際会議「CODE BLUE」で研究発表
~攻撃リスクが高まるiOS端末に今後懸念される新たなマルウェアの脅威を解説~

FFRIセキュリティ SNS

FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。

FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。

  • FFRIセキュリティリソース

    お問い合わせ

    メールマガジン

    FFRIエンジニアブログ

  • 最近の記事

  • 特集

  • アーカイブ

    • HOME  ≫ FFRIセキュリティ BLOG  ≫ 2015年  ≫ 2015年10月  ≫ iOSのセキュリティについて今一度考える

    pagetop