Appleの欠陥によりハッカーが企業のパスワードを盗むことが可能

多くの企業は、AndroidやWindowsを搭載したより手頃な製品よりも安全だと考え、Appleのスマートフォンやコンピューターに多額の投資をしています。しかし、Appleは完全に安全というわけではありません。

研究者らは、ハッカーがmacOSやiOSデバイスからビジネスパスワードを盗むことを可能にする、あるAppleサービスにおける憂慮すべき欠陥を発見した。

Appleは近年、競合他社から市場シェアを奪うべく、法人顧客を重点的に開拓してきました。より優れたビジネスアプリの開発を目指し、IBM、アクセンチュア、セールスフォース・ドットコムといった企業と提携さえしています。

しかし、現時点では、Apple デバイスをビジネスで使用する際には注意が必要であるようです。

Duo Security の研究者らは、企業が Mac や iOS デバイスを管理し、保護するのに役立つ Apple のデバイス登録プログラム (DEP) に、Wi-Fi やアプリケーションのパスワードを盗むことができる欠陥を発見した。

このハッキングは、不正なデバイスをDEPシステムに登録し、それを企業のモバイルデバイス管理（MDM）サーバーに登録するというものです。これにはいくつかの方法があります。

一つの方法は、ソーシャルエンジニアリングを用いて、DEPシステムに既に登録されているものの、まだ会社のサーバー上に設定されていないシリアル番号をハッカーが見つけ出すことです。ハッカーが無防備なユーザーを騙して情報を引き出すのがいかに容易であるかは、誰もが知っています。

Duo Securityによると、ハッカーは従業員がサポートのためにシリアル番号を頻繁に投稿するMDM製品フォーラムを検索することも可能だ。また、「ブルートフォース」ソフトウェアを使って無数のシリアル番号を順に調べ、一致するものが見つかるまで攻撃するという方法もある。

デバイスを MDM サーバーに登録すると、会社全体で使用されているアプリケーションや Wi-Fi ネットワークのパスワードを取得できるようになります。

このような攻撃はほぼ不可能だと思うかもしれません。しかし、注意すべき点もあります。

「攻撃者は、正規の従業員よりも先に、自分のデバイスを会社のMDMサーバーに登録する必要があります」とフォーブスは説明しています。「必要なシリアル番号は一度しか受け付けられません。」

しかし、Duoの研究者によると、それはそれほど難しくはない。ハッカーがやるべきことは、過去90日以内に製造された製品のシリアル番号を探すことだけだ。「まだ登録されていないデバイスを見つけることは間違いなく可能です」と、研究者のジェームズ・バークレー氏は言う。

これは、AppleのDEPシステムやMDMを避けるべきだという意味ではないとバークレイ氏は言う。「メリットは固有のリスクを上回ります。しかし、Appleと顧客がリスクを軽減するために実行できる対策はあります。」

Duoは、企業がDEPに登録する際にデバイスチップに暗号化技術を導入し、デバイスを一意に識別することを推奨しています。また、Appleはより強力で強制的な認証を実装することもできると付け加えています。

Duo は 5 月にこの問題を Apple に報告しているが、Apple はこれに対して何らかの対応がなされるかどうかについては確認していない。

AppleはForbesに対し、今回の攻撃は自社製品の脆弱性を悪用するものではなく、企業には認証の利用を推奨していると述べた。しかし、バークレー氏は「何らかの変更が行われると確信している」と述べている。

Oligur