トレンドマイクロは9月8日、8月に報告されたiOSのサンドボックスを使用したセキュリティ対策を回避できる脆弱性である「Quicksand」(CVE-2015-5749)脆弱性iに関する記事を公開した。
この脆弱性は、2015年8月に公開されたiOS8.4.1より前のバージョンに影響を与えるもの。不正なアプリが端末内の他のアプリにアクセスするのを避けるため、iOSではサンドボックス機能によって、他のアプリやOSからそれぞれ隔離されているが、この脆弱性を利用すると、攻撃者が端末内の他のアプリの環境設定に保存された情報を入手することが可能となるという。
「モバイルデバイス管理(Mobile Device Management、MDM)」を実現するためのクライアントアプリでは、ネットワーク経由の管理を実現するため、プッシュ設定機能をサポートしているが、攻撃者は このQuicksand脆弱性を利用することで、資格情報や認証情報などの設定を盗み取る。
企業や組織では企業用プロビジョニングを使用することでApp Storeでの確認や認証なしで、独自の社内アプリを作成し、iOS端末にインストールできるのだが、攻撃者が盗み取った情報を利用して社員やユーザをだまし、App Storeや企業の証明書を介して、iOS端末に不正なアプリをインストールする可能性があるという。
たとえば、MDMクライアントによって配信される社内アプリを持つ企業環境においては、IT管理者はこのMDMクライアントを使用して、社員が所有/管理する携帯端末を制御および監視するわけだが、攻撃者は、MDMが信頼されていることを利用して、攻撃者のMDMから送信されたアプリを正規のもののようにみせて、社員にインストールさせることができてしまう。
この脆弱性を利用した攻撃が行われると、企業の情報は深刻な危険にさらされることになるのだが、この脆弱性は遠隔で利用できるものではないため、実際に攻撃が行なわれる可能性は最小限と考えられるという。さらに、上述の攻撃シナリオにでてくるMDMクライアントは、すべてのiOS端末で使用されているものではない。
トレンドマイクロは、同脆弱性の影響をゼロにするために、iOS端末を最新のバージョンに更新することを勧めている。また、配信された車内アプリが有効で正規のものかを確認するためには、最初に IT管理者に検証してもらうことが重要だと強調している。
