悪意のあるプロファイル – モバイルデバイスとって最も深刻な脅威

脅威アクターが攻撃チェーンの一環として、Appleデバイスに悪意ある構成プロファイルを導入する方法と、それを防ぐためにできることを解説します。

October 23 2023 投稿者

Liarna La Porta

A visibly upset woman is being consoled by another while wearing a malicious grin.

構成プロファイルは、Appleデバイスのシステムレベルの設定を構成するために、セルラーキャリア、モバイルデバイスの管理ソリューション(MDM)、およびモバイルアプリケーションによって使用されます。構成プロファイルは通常以下の設定に用いられます:

  • Wi-Fiネットワーク接続
  • VPNサービスのセキュアなパラメータ
  • ビジネスメールサービスへのアクセス
  • セルラー接続用のアクセスポイント名(APN)
  • エンドポイントセキュリティのためのハードニング構成
  • コンプライアンス管理と実行

上記は、IT管理者がエンドポイントを管理する際に構成プロファイルを利用する理由のごく一部です。しかし、正当な使用によって利益をもたらすツールと同様、脅威アクターが不純な動機で使用した場合も、プロファイルを悪意のある方法で使用することによって、Appleのセキュリティモデルをすり抜け、被害者のデバイスに侵入するために利用される可能性があります。

OSやアプリに発見された脆弱性など一般的な脅威は、多くの場合、攻撃者がアクセス制限をすり抜けることを可能にし、さらに不正な構成プロファイルをインストールすることで永続するようになります。この業界で認知され、拡大するモバイル脅威については少し後で攻撃の例と共に説明します。まず、悪意をもって仕込まれたプロファイル攻撃がモバイル脅威防御に与える影響とその構造について詳しく見ていきましょう。

プロファイルはどのようにしてデバイスに悪意を持ってインストールされるのでしょうか?

構成プロファイルはさまざまな方法でインストールできます。一例として、認証局(CA)とVPNトンネル構成を含むiOSベースの構成ファイルを作成する方法があります。

構成プロファイルの配布は厳重に管理されていないため、悪意のあるペイロードへのリンクを作成し、フィッシング攻撃などで被害者にクリックを促し、インストールを開始させることは攻撃者にとってそう難しいことではありません。多くの場合、このような攻撃はソーシャルエンジニアリングと組み合わされ、デバイスに影響を与えるセキュリティ問題を修正するよう被害者をだましたり、価値あるものへのアクセスを約束したりして、インストールプロンプトを受け入れるよう誘導します。

悪意のある配布を伴うもう一つの例は、別の攻撃ベクトルである中間者(MitM)攻撃によって実行されます。MitM攻撃はWi-Fi接続を狙い、攻撃者は被害者のデバイスとインターネットの間に入り込み、なりすましのホットスポットを介してネットワークトラフィックをファネリングします。一旦アクセスを確保すると、攻撃者は以下のことができるようになります:

  • インターネット上のユーザアクティビティを追跡する
  • 送受信データを盗み見する
  • 危険なホストへのナビゲーションを操作する
  • 後の攻撃で使用する認証情報を取得する

その他のプロファイル攻撃は、プロキシサーバを使用したり、APN設定を変更したりして、一般的にネットワークベースの攻撃が実行されるレベルよりもはるかに低いレベルで動作することによって、悪意のあるトラフィックを隠蔽しながら攻撃を実行します(下図参照)。

Wireless diagram that explains at what level network attacks occur typically.

デバイスに悪意のあるプロファイルがあると、どのような影響があるのでしょうか?

悪意を持ってインストールされたプロファイルは被害者のデバイスから完全に削除することはできず、組織的要件に準拠する手段として、プロファイルのマニュアル削除を防止するように構成されている企業所有のデバイスと同様に、影響を受けたデバイスでは構成プロファイルの設定が持続することになります。

前述したように、構成プロファイルにはWi-Fi、VPN、Eメール、カレンダー、パスコード制限設定などを含めることができます。悪意のあるプロファイルは、攻撃者がデバイスの既存の設定を変更することを可能にし、ハードニング設定やエンドポイントセキュリティアプリの有効性など、多くのセキュリティ対策を危険にさらします。デバイスのセキュリティポスチャを弱めるだけでなく、すべての転送データを露出することで、ユーザのプライバシーとビジネスデータの侵害につながる恐れがあり、攻撃者は影響を受けるデバイスのあらゆる側面を広くコントロールできるようになります。例えば、プロファイルは悪意のあるVPNを使用するようにデバイスを構成することができ、正規サービスからのリクエストを悪意のあるページにリダイレクトするなど、デバイスを行き来するすべてのネットワークトラフィックに攻撃者がアクセスできるようになります。

別の例では、悪意のあるサードパーティのルートCAが被害者のデバイスにインストールおよび信頼され、これにより、攻撃者はトラフィックを検査するだけでなく、安全なウェブサイトを装うこともできるようになります。また、どのようなリソースに対しても証明書を作成することができ、アクセスされたドメインとセキュリティ設定を検証するために使用された証明書との間のミスマッチエラーは、エンドユーザに表示されません。

もし、上記が十分な懸念材料でなかったとしたら、最も深刻な影響のひとつは、MitM攻撃について述べたときに触れた点でしょう。つまり、証明書やプロファイルを改ざんすることで、脅威者はデバイスに攻撃者を暗黙のうちに信頼させ、永続性を達成できるようになります。そうすることで、デバイスが一旦侵害されると、ユーザに再度プロンプトが表示されることなく、その後ずっと攻撃が起こり続けてしまうようになるのです(永続性)。

悪意のあるプロファイルからデバイスを保護する方法

Appleはハードウェアとソフトウェアにセキュリティとプライバシー保護を組み込んでいるため、この種の攻撃を成功させることは本質的に難しく、このような攻撃者がもたらすリスクは最小限に抑えられていますが、それでも攻撃は起こります。

ユーザは、無料インターネットにアクセスしようとするとき、設定ダイアログを急いで読み飛ばす傾向があり、ネットワークサービスの中断を軽減しようとして、警告サインを見逃してしまうことがよくあります。このため、企業のモバイルフリートを圧縮的に保護するために、以下の手順を踏むことをお勧めします:

  • 最良のモバイル脅威防御ソリューションを導入し、悪意のあるプロファイル、疑わしいアプリ、リスクのあるユーザ行動などの脅威を警告、および保護する。
  • セキュリティソリューションがエンドポイントを積極的に監視していることを確認する。リアルタイムでデバイスの健康状態をテレメトリで可視化することで、IT部門が古いオペレーティングシステムや既知の脆弱性を確認できるようにする。
  • ゼロデイフィッシングURLへのアクセスを防止するために、Webベースのコンテンツを識別、フィルタリングするためのネットワークベースのセキュリティ保護を実装する。この保護が実装されることで、ユーザが悪意のあるリンクをクリックしても、ペイロードはブロックされ、脅威を説明する情報ページにリダイレクトされる。
  • エンドポイントセキュリティをMDM ソリューションと統合することで、重要なシステムパッチやアプリアップデートの配信を制御し、エンドポイントをコンプライアンスに準拠させる。
  • Apple Business Manager(またはApple School Manager)のワークフローを通じて、デバイスのプロビジョニングを自動化し、監視する。これらにより、IT部門はユーザによる承認プロンプトに頼ることなく、安全にコンフィギュレータを導入することができ、それ以外は攻撃の可能性があるので、すぐに報告されます。
  • 帯域外プロファイルをインストールしたり、MDMフレームワークの外部に導入する必要がある場合、管理者はその出所を検証し、データの統合を保護するために、構成プロファイルにデジタル署名を行い、暗号化する。
  • この特定の攻撃は、ユーザに対するソーシャルエンジニアリングに依存しており、ソーシャルエンジニアリング脅威に対する継続的なユーザトレーニングがリスクを最小限に抑える。
  • エンドポイントのインベントリを定期的に監査し、組織のコンプライアンス要件に合致しない構成プロファイルやインストール済みアプリに細心の注意を払う。

業界内での協力体制

責任ある情報開示はJamfにとって重要です。

責任あるセキュリティ研究者は、影響を受けるOSやアプリの開発者に通知した、脆弱性をメディアに発表したり 、発見を公表するプレゼンテーションを実施します。多くの場合、これは問題を修正するために必要なリードタイムを開発者に提供することを含め、開発者と協働することを意味します。

これにより修正プログラムが利用可能になる前に、悪意ある行為者が脆弱性を悪用し始める可能性を最小限に抑えます。結局、開発者が脆弱性を修正するのは、脅威行為者が脆弱性を悪用するよりもはるかに時間がかかります。

脆弱性の検出に関しては、さまざまな要因が組織や個人に脆弱性の発見と修正に駆り立てますが、多くの場合はお金のため、あるいはバグ報奨金を得ることが狙いです。企業によっては、バグを発見する研究者を奨励するためにバグ報奨金を出し、多額の報酬を与えたり、発見をその研究者の功績にしています。多くの研究者や開発者がバグの発見や修正に取り組んでいますが、Appleもセキュリティ報奨金プログラムを設け、巨大なAppleコミュニティのために、プラットフォームで発見された脆弱性を共有するサードパーティや善良なインターネット市民にインセンティブを与えています。

懸賞金の有無にかかわらず、業界の協力は、特にAppleが提供するmacOS、iOS/iPadOS、ネイティブアプリ、クラウドベースのサービスのような広く導入されたプラットフォームにおいて、脆弱性を迅速に発見し、その後パッチを適用するための重要な方法です。

Jamf Protectは、悪意のあるプロファイルなどの攻撃からデバイスを保護します。

Appleのネイティブソリューションや貴社のポリシーとJamfの相性を一度テストしてみてください。無料お試しいただけます!

Jamfブログの購読

市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。

当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。