Appleのモバイル端末導入支援サービスに「弱点」、セキュリティ企業が指摘

この問題が悪用されれば、攻撃者が任意の端末を登録することができてしまう恐れがあるとしている。

[鈴木聖子，ITmedia]

　セキュリティ企業のDuo Securityは2018年9月27日、Appleが企業向けに提供するモバイル端末導入支援サービス「Device Enrollment Program（DEP）」の弱点を発見したと発表した。「悪用されれば、攻撃者が任意の端末を登録できてしまう恐れがある」と解説している。

Duo Securityの記事

　DEPはiOSデバイスやMacをモバイルデバイス管理（MDM）サーバに自動登録して初期設定を済ませることのできる無料サービス。Duo Securityが「AppleデバイスがDEPサービスと通信して登録される」仕組みについて研究していたところ、同サービスではMDMに登録する前のユーザー認証を、サポートしているものの、必須とはしておらず、一部の組織はシリアル番号のみでデバイス登録を認証している可能性があることが分かったという。

　シリアル番号は一般に公開されていたり、推測できたりしてしまう場合も多い。Duo Securityは「もしも追加的な認証が実装されていなければ、攻撃者がこの弱点を突いて任意の端末を組織のMDMサーバに登録し、アクセス特権を獲得してネットワークへの不正侵入に利用することも可能だ」としている。

　加えて、この問題は、AppleのDEPサービスを利用している全組織が影響を受けると指摘。「同サービスを使っている組織では、MDMに登録する前にユーザー認証を義務付けて、シリアル番号を知っているだけではデバイスを登録できないようにする必要がある」とAppleに推奨した。

　一方で、「DEPには認証上の弱点はあるものの、それでも大量のAppleデバイスを使っている組織にとっては価値がある。DEP経由でMDMに登録するメリットの方が、認証上の弱点に関連したリスクよりも大きい」とも指摘している。

　Duo Securityは2018年5月にこの問題をAppleに報告。それから4カ月以上経過して一般に情報を公開した。