[Black Hat USA 2014レポート] MDM=Mobile Device Mismanagement? ~MDM 製品のペネトレーションテスト結果(NTT Com Security) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.03.26(日)

[Black Hat USA 2014レポート] MDM=Mobile Device Mismanagement? ~MDM 製品のペネトレーションテスト結果(NTT Com Security)

研修・セミナー・カンファレンス セミナー・イベント

年に一度、米ラスベガスで開催される、世界最大級のサイバーセキュリティカンファレンス Black Hat USA。

本稿では、8月6日から開催された Black Hat USA 2014 Briefings の会場で発表された、NTT コミュニケーションズ株式会社の海外子会社 NTT Com Security の Stephen Breen 氏と、Christopher Camejo 氏による講演の要旨をレポートする。

NTT Com Security のエシカル(倫理的)ハッキングチームに所属し、過去 Firefox や ColdFusion の脆弱性などを発見した経歴を持ち、さまざまなペネトレーションテストの技術やツールに詳しいバックグランドを持つ Stephen 氏らが今回の講演のために選んだのは、MDM(Mobile Device Management)製品そのものの脆弱性を、ペネトレーションテストによって明らかにするという野心的なテーマだった。

BYOD の普及で MDM 製品の導入を完了している多数の企業のセキュリティ管理者の関心を大いに集めた本講演は、Black Hat USA 2014 が開催された、マンダレイ ベイ コンベンションセンターの最も広いホールのひとつで行われ、特定分野の研究テーマながらも多数の聴衆を集めることに成功していた。


●CVE 登録件数ゼロ、MDM 製品には脆弱性がない?

MDM 製品は、スタッフのモバイルデバイスの管理とセキュリティ確保を求める、数多くの企業や組織によって利用されており、AirWatch、MobileIron、Citrix、SAP、McAfee、Sophos、Trend Micro、Kaspersky Lab、Symantec など、多くのベンダから提供されている。

企業におけるスマートフォンやタブレットPCの利活用と、個人所有端末の業務利用である BYOD は急速な拡大を続けており、それを管理するための MDM 製品カテゴリは、今後も成長が見込まれている。

これまでのところ、MDM 製品の脆弱性は CVE に 1 件も登録されていない。しかし Stephen 氏らは、複数の MDM 製品には、共通する脆弱性が存在すると考えた。オープンソースの暗号ソフトウェアライブラリ OpenSSL の脆弱性「Heartbleed」など、昨今、セキュリティ製品自体が攻撃対象になりつつあるという認識を持っていたからだ。


●ペネトレーションテストの実施と結果

Stephen 氏 と Camejo 氏らは、プロトコルが標準化され、MDM 用 API が決められているため、より安全性が高いと一般にはみなされている iOS の MDM 製品に絞ってペネトレーションテストを実施した。

多くの MDM ベンダでは検証用物品の提供が行われず、有効なツールの情報も少ないため、診断は容易ではなかったという。なお、発見された全ての脆弱性はすでにベンダに報告され、パッチが適用されているか今後適用予定であるという。なお本講演では脆弱性が発見されたベンダ名がバイネームで示されることはなかった。

ペネトレーションテストの結果、端末をMDMに登録するプロセスにおいて、「暗号化無しのサーバとの通信」「認証エラーの見落とし」「予測可能である、あるいはいつまでも失効しない等の認証情報の管理不備」などの問題が存在し、iOS MDM API のさまざまなコマンドを組み合わせることが可能であることが明らかになった。

それによって、たとえば攻撃者は、MDM に登録された特定端末になりすまし、MDMサーバを通じて機密性の高い情報にアクセスするなどの、深刻な影響をもたらす攻撃が可能になる。


●MDM 製品に関する彼らの主張

講演のしめくくりで彼らが述べた「あらゆる IT プロダクトの導入は攻撃を受ける可能性を増加させるが、(MDM のような)セキュリティ製品もその例外ではない(Everything increases attack surface, even security products)」という、彼らのユーザー向けのアドバイスは、若干の戸惑いをもって会場で受けとめられた。危険性が増すことが事実だとしても、かといって MDM を入れないという選択もまた、セキュリティ管理上難しいからである。

プレゼンテーションの冒頭部分では、現在、世界でおよそ 1 億 8 千万台の BYOD デバイス数が 2015 年までに 3 億 9 千万台まで増加する予測値が示された。いかなる製品にも脆弱性があり、攻撃のターゲットとなりうる以上、今後も広範な普及が予想される MDM 製品もまた、他の製品やソフトウェア同様、脆弱性情報を公開し、パッチを供給する仕組み作りを進めていくことが重要である。

検証により根拠を示して、その必要性を問うた点において、 NTT Com Security の講演は、MDM 製品の進化に一石を投じる講演であったといえる。
《高橋 潤哉》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

研修・セミナー・カンファレンス カテゴリの人気記事 MONTHLY ランキング

  1. [Security Days Spring 2017 インタビュー] もう闇雲に怖がらせて買わせる時代ではない(フォーティネット)

    [Security Days Spring 2017 インタビュー] もう闇雲に怖がらせて買わせる時代ではない(フォーティネット)

  2. [Security Days Spring 2017 インタビュー] ユーザー視点に立ったSOCサービスで、プロバイダならではのセキュリティインテリジェンスを提供(IIJ)

    [Security Days Spring 2017 インタビュー] ユーザー視点に立ったSOCサービスで、プロバイダならではのセキュリティインテリジェンスを提供(IIJ)

  3. [Security Days Spring 2017 インタビュー] 自社SIRTで培ったノウハウをソリューション導入からMSSまでワンストップに提供(NHN テコラス)

    [Security Days Spring 2017 インタビュー] 自社SIRTで培ったノウハウをソリューション導入からMSSまでワンストップに提供(NHN テコラス)

  4. 外からのサイバー攻撃と内部犯行の違いとは~内部不正対策の三要素

  5. 自動化された攻防戦 「CGC」 が 2 億円の賞金以上に与えたインパクト

  6. [Security Days Spring 2017 インタビュー] IoTを含む百万以上のエンドポイントを可視化し、脅威を自動的に検出し封じ込める「ForeScout CounterACT」(フォアスカウト・テクノロジーズ)

  7. IoT と AI がもたらすパラダイムシフト「PDCA」から「CAPD」へ ~ 電機大 安田学長

  8. [Security Days Spring 2017 インタビュー] 日本がCSIRT構築より前に振り返るべきポイント(セキュアワークス・ジャパン)

  9. [Security Days Spring 2017 レポート] ランサムウェアの歴史と未来 - 世界最初のランサムウェアはフロッピーを郵送?(ESET)

  10. [Security Days Spring 2017 インタビュー] NIST、FISC基準に準拠したマトリクス認証「SECUREMATRIX」の新バージョン「V10」とは(シー・エス・イー)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×