最近(8月29日 現地時間)公表されたApple iOSを標的とするエクスプロイトチェーンは、悪意のあるサイバー犯罪者がゼロデイの脆弱性を利用して、いかに検出されることなく攻撃を成功させるかについての最新の実例と言えます。
具体的には、単数または複数の攻撃者が複数の侵害されたWebサイトを操作し、少なくとも1つ以上のゼロデイ脆弱性と多数の独自のエクスプロイトチェーンおよび既知の脆弱性を使用して、最新バージョンのOSも含むiPhoneを2年以上に渡って侵害していたというものです 。この種のインフラストラクチャを運用して、検出されることもなく、何千人に達するかもしれないユーザーを危険にさらすには、相当な手腕と豊富な資金を必要とします。
サイバー犯罪という悪の広がりと戦うには正義の味方が必要ですが、このようなサイバー攻撃が実施されるようになると、脅威調査と責任ある脆弱性の開示がますます重要になってきます。サイバー犯罪者は、日々、より速く、より巧妙に、より危険になっています。研究者のグローバルコミュニティが一致団結して、この攻撃で使用されたような重大な脆弱性を特定し協力することは、この種の悪意の攻撃の排除に向けて有意義な進歩を遂げるために重要です。同様に重要なのは、攻撃があった際に防御者と開発者が将来これらの脅威を軽減できるように、その攻撃独自の特性を明らかにするための分析を行うことです。では、この攻撃について見ていきましょう。
白昼堂々と行われる攻撃
この攻撃は、インプラントを密かに実行するのではなく、暗号化もなしに情報をアップロードしていたという点で独特です。つまり、情報が平文で攻撃者のサーバーにアップロードされているため、ネットワークトラフィックを監視しているユーザーならアクティビティに気付くはずなのです。
さらに、デバッグメッセージがコードに残っているようなので、ユーザーが自分の電話をコンピューターに接続し、コンソールログを確認すれば、同様にアクティビティに気付くはずです。
ただし、iPhoneのクローズドなOSでは、ユーザーはこれらの攻撃インジケーターに気付くために、電話をコンピューターに接続するという追加的な手順を実行する必要があります。このためパワーユーザーであっても、感染に気付かない可能性があります。
iOS エクスプロイトの価値
一般的に、iOSのエクスプロイトを見つけることは、独自のコードベースや最新のセキュリティ保護措置のために困難です。ただし、ユーザーとの対話を必要とせず、完全なリモートでコードを実行するタイプのエクスプロイトは、非常にまれで効果が高く、発見が困難です。
攻撃をさらに複雑にさせているのは、多くのモバイルデバイスのエクスプロイトには、成功するために複数の脆弱性が必要で、多くの場合、ターゲットシステムで高度なリモートコードの実行には3〜4個のバグが必要です。通常はサンドボックス/コンテナなどの緩和策、コード実行の制限、およびユーザー権限の低下などが理由で一連の脆弱性が必要になります。この複雑さにより、1つまたは複数のバグが発見されたとしても、ベンダーによって「潰され」、またはパッチが適用される可能性が高く、攻撃の成功率が低下します。
Appleは責任ある情報開示については確固とした姿勢を貫いており、最近では、特定の脆弱性に対しての報奨金を最大100万ドルまで増額しました。一方で脆弱性を「再販」する脆弱性ブローカーは、iOSでのゼロインタラクションのリモートコード実行の脆弱性に対して最大300万米ドルを支払うと伝えられています。被害者からの対話を必要とせず、完全なリモートコード実行をもたらすバグの価値はそれほど価値が高いのです。AppleのOSがモバイルデバイスやPC全体で普及しているため、報奨金がこれほど高価であっても、自分の調査で知り得た脆弱性を責任ある態度で開示することより、もっと悪質な目的のために使うことをやめさせるには十分ではありません。
脆弱性開示の強み
この発見に際して浮かぶ最も重要な疑問は以下の2つです。この攻撃者はどのようにしてこんなに長い間、主に既知のエクスプロイトを使用して操作をし続けられたのか。そして結果どのようなゴールを達成できたのか(利益を得られたのか)。
これらの疑問により、私たちは脆弱性の開示の価値について改めて考えさせられます。ハードウェアおよびソフトウェアの分析と責任ある開示を通じて、悪意のある人物が悪意のある目的で利用する前に、一歩先んじてこれらの種類の脆弱性を公開することは、本当に重要なことなのです。
※本ページの内容は、2019年9月4日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Apple iOS Attack Underscores Importance of Threat Research
著者: