Appleのモバイル端末導入支援サービスに「弱点」、セキュリティ企業が指摘
この問題が悪用されれば、攻撃者が任意の端末を登録することができてしまう恐れがあるとしている。
セキュリティ企業のDuo Securityは2018年9月27日、Appleが企業向けに提供するモバイル端末導入支援サービス「Device Enrollment Program(DEP)」の弱点を発見したと発表した。「悪用されれば、攻撃者が任意の端末を登録できてしまう恐れがある」と解説している。
DEPはiOSデバイスやMacをモバイルデバイス管理(MDM)サーバに自動登録して初期設定を済ませることのできる無料サービス。Duo Securityが「AppleデバイスがDEPサービスと通信して登録される」仕組みについて研究していたところ、同サービスではMDMに登録する前のユーザー認証を、サポートしているものの、必須とはしておらず、一部の組織はシリアル番号のみでデバイス登録を認証している可能性があることが分かったという。
シリアル番号は一般に公開されていたり、推測できたりしてしまう場合も多い。Duo Securityは「もしも追加的な認証が実装されていなければ、攻撃者がこの弱点を突いて任意の端末を組織のMDMサーバに登録し、アクセス特権を獲得してネットワークへの不正侵入に利用することも可能だ」としている。
加えて、この問題は、AppleのDEPサービスを利用している全組織が影響を受けると指摘。「同サービスを使っている組織では、MDMに登録する前にユーザー認証を義務付けて、シリアル番号を知っているだけではデバイスを登録できないようにする必要がある」とAppleに推奨した。
一方で、「DEPには認証上の弱点はあるものの、それでも大量のAppleデバイスを使っている組織にとっては価値がある。DEP経由でMDMに登録するメリットの方が、認証上の弱点に関連したリスクよりも大きい」とも指摘している。
Duo Securityは2018年5月にこの問題をAppleに報告。それから4カ月以上経過して一般に情報を公開した。
関連記事
- 「iOS 12」のセキュリティ情報公開、16件の脆弱性を修正
同時に「tvOS 12」「watchOS 5」「Safari 12」「Apple Support 2.4 for iOS」のセキュリティ情報も公開された。 - Apple、iOSやmacOS、Windows向けiCloudなどのセキュリティ情報公開
iOS 11.4.1で修正された絵文字関連の脆弱性では、「台湾」という単語を入力するたびに、アプリケーションがクラッシュすると報告されていたという。 - 産業制御システムアプリ、セキュリティ問題は悪化の一途
IOActiveが34社のSCADAアプリケーションをGoogle Play Storeから無作為に抽出してテストした結果、計147件のセキュリティ問題が見つかった。 - モバイルPCのセキュリティリスクを補償する「テレワーク保険」 東京海上日動と日本マイクロソフトから
東京海上日動と日本マイクロソフトが、モバイルPCからの情報漏えいやモバイルPCに対する不正アクセスといったテレワーク中のリスクをカバーする「テレワーク保険」を発売。Windows10を搭載した法人向けPCに付帯する形で提供される。 - Microsoftの「Windows Defender ATP」、macOS、Linux、iOS、Androidにも対応
セキュリティ3社と組んで、「Windows Defender ATP」でmacOS、Linux、iOS、Androidに対する攻撃にも対応できるようにする。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.