[Black Hat USA 2014レポート] MDM=Mobile Device Mismanagement? ~MDM 製品のペネトレーションテスト結果(NTT Com Security) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.01.23(月)

[Black Hat USA 2014レポート] MDM=Mobile Device Mismanagement? ~MDM 製品のペネトレーションテスト結果(NTT Com Security)

研修・セミナー・カンファレンス セミナー・イベント

年に一度、米ラスベガスで開催される、世界最大級のサイバーセキュリティカンファレンス Black Hat USA。

本稿では、8月6日から開催された Black Hat USA 2014 Briefings の会場で発表された、NTT コミュニケーションズ株式会社の海外子会社 NTT Com Security の Stephen Breen 氏と、Christopher Camejo 氏による講演の要旨をレポートする。

NTT Com Security のエシカル(倫理的)ハッキングチームに所属し、過去 Firefox や ColdFusion の脆弱性などを発見した経歴を持ち、さまざまなペネトレーションテストの技術やツールに詳しいバックグランドを持つ Stephen 氏らが今回の講演のために選んだのは、MDM(Mobile Device Management)製品そのものの脆弱性を、ペネトレーションテストによって明らかにするという野心的なテーマだった。

BYOD の普及で MDM 製品の導入を完了している多数の企業のセキュリティ管理者の関心を大いに集めた本講演は、Black Hat USA 2014 が開催された、マンダレイ ベイ コンベンションセンターの最も広いホールのひとつで行われ、特定分野の研究テーマながらも多数の聴衆を集めることに成功していた。


●CVE 登録件数ゼロ、MDM 製品には脆弱性がない?

MDM 製品は、スタッフのモバイルデバイスの管理とセキュリティ確保を求める、数多くの企業や組織によって利用されており、AirWatch、MobileIron、Citrix、SAP、McAfee、Sophos、Trend Micro、Kaspersky Lab、Symantec など、多くのベンダから提供されている。

企業におけるスマートフォンやタブレットPCの利活用と、個人所有端末の業務利用である BYOD は急速な拡大を続けており、それを管理するための MDM 製品カテゴリは、今後も成長が見込まれている。

これまでのところ、MDM 製品の脆弱性は CVE に 1 件も登録されていない。しかし Stephen 氏らは、複数の MDM 製品には、共通する脆弱性が存在すると考えた。オープンソースの暗号ソフトウェアライブラリ OpenSSL の脆弱性「Heartbleed」など、昨今、セキュリティ製品自体が攻撃対象になりつつあるという認識を持っていたからだ。


●ペネトレーションテストの実施と結果

Stephen 氏 と Camejo 氏らは、プロトコルが標準化され、MDM 用 API が決められているため、より安全性が高いと一般にはみなされている iOS の MDM 製品に絞ってペネトレーションテストを実施した。

多くの MDM ベンダでは検証用物品の提供が行われず、有効なツールの情報も少ないため、診断は容易ではなかったという。なお、発見された全ての脆弱性はすでにベンダに報告され、パッチが適用されているか今後適用予定であるという。なお本講演では脆弱性が発見されたベンダ名がバイネームで示されることはなかった。

ペネトレーションテストの結果、端末をMDMに登録するプロセスにおいて、「暗号化無しのサーバとの通信」「認証エラーの見落とし」「予測可能である、あるいはいつまでも失効しない等の認証情報の管理不備」などの問題が存在し、iOS MDM API のさまざまなコマンドを組み合わせることが可能であることが明らかになった。

それによって、たとえば攻撃者は、MDM に登録された特定端末になりすまし、MDMサーバを通じて機密性の高い情報にアクセスするなどの、深刻な影響をもたらす攻撃が可能になる。


●MDM 製品に関する彼らの主張

講演のしめくくりで彼らが述べた「あらゆる IT プロダクトの導入は攻撃を受ける可能性を増加させるが、(MDM のような)セキュリティ製品もその例外ではない(Everything increases attack surface, even security products)」という、彼らのユーザー向けのアドバイスは、若干の戸惑いをもって会場で受けとめられた。危険性が増すことが事実だとしても、かといって MDM を入れないという選択もまた、セキュリティ管理上難しいからである。

プレゼンテーションの冒頭部分では、現在、世界でおよそ 1 億 8 千万台の BYOD デバイス数が 2015 年までに 3 億 9 千万台まで増加する予測値が示された。いかなる製品にも脆弱性があり、攻撃のターゲットとなりうる以上、今後も広範な普及が予想される MDM 製品もまた、他の製品やソフトウェア同様、脆弱性情報を公開し、パッチを供給する仕組み作りを進めていくことが重要である。

検証により根拠を示して、その必要性を問うた点において、 NTT Com Security の講演は、MDM 製品の進化に一石を投じる講演であったといえる。
《高橋 潤哉》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

研修・セミナー・カンファレンス カテゴリの人気記事 MONTHLY ランキング

  1. 「彼らは本気度が違う」 ~ 専門学校生対象の脆弱性発見コンテストで日本工学院八王子専門学校「WCDI」最優秀賞

    「彼らは本気度が違う」 ~ 専門学校生対象の脆弱性発見コンテストで日本工学院八王子専門学校「WCDI」最優秀賞

  2. 自動車へのハッキングはどうやって守るのか? カギはHSM

    自動車へのハッキングはどうやって守るのか? カギはHSM

  3. 国内11の自動車関連 Android アプリの危険性~遠隔操作は可能か (CODE BLUE 2016)

    国内11の自動車関連 Android アプリの危険性~遠隔操作は可能か (CODE BLUE 2016)

  4. 【Internet Week 2016】サーバーのクリーンインストール、集団訴訟に備えているか? シマンテックが語るインシデント対応

  5. スマートテレビがランサムウェアに感染する瞬間を目撃! IoTセミナー(トレンドマイクロ)

  6. デモや事例を交えた標的型攻撃やインサイダーによる情報漏えい対策セミナー(ダークトレース・ジャパン、NHNテコラス)

  7. 自動化された攻防戦 「CGC」 が 2 億円の賞金以上に与えたインパクト

  8. 「分離」「無害化」によるサイバー攻撃対策セミナー昨年に続き第2回開催、内閣官房CIO補佐官講演や郵船トラベル社事例も(マクニカネットワークス)

  9. 通信インフラがダウン状態でもスマホ同士をWi-Fi Direct機能を利用して接続する「スマホdeリレー」(構造計画研究所)

  10. [Security Days Fall 2016開催直前インタビュー] 人工知能がサイバーセキュリティにもたらすゲームチェンジ(Cylance)

全カテゴリランキング

特集

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×