概要
Talos では、スマートフォンに不正なアプリケーションを読み込む、悪意のあるモバイル デバイス管理(MDM)プラットフォームを最初に発見して以来、その手口に関する有益な情報を多数入手しています。攻撃者が一般的な MDM の機能をどのように活用し、iOS のプロファイルを使用して正当なバージョンのアプリケーションを非表示にして無効にすることで、その代役となる悪意のあるアプリケーションをユーザに利用させていたかがわかりました。
Cisco Talos は以前、この主題について 2 つの記事を投稿しました(記事はこちら
とこちら)。前述のキャンペーンでは、攻撃者は iOS デバイスを悪意のある MDM に登録し、そのデバイスを使用して利用者のデバイスをコントロールしていました。WhatsApp、Telegram、Imo メッセージング サービスのほか、Web ブラウザの Safari を装った悪意のあるアプリケーションを展開しています。
また、追加の調査によって、登録したデバイスに特定のプロファイルを仕掛けた後に、悪意のあるアプリケーションを展開し、iOS デバイスの年齢レート制限機能を悪用していることがわかりました。WhatsApp と Telegram の年齢レートはそれぞれ「12+」と「17+」ですが、それが「9+」に設定された後に、インストール済みの正当なアプリケーションがデバイスから消えていました。
アプリケーションはデバイスにまだ残っていますが、操作できなくなっています。iOS の検索機能でそのアプリケーションを検索しても開くことはできません。
すべてのモバイル デバイス ユーザは、MDM を通じて攻撃者からスマートフォンを制御されないように、こうした攻撃方法に注意する必要があります。次に、権限のない MDM や年齢設定の変更をスマートフォンで確認する方法を、ビデオを交えて順に解説します。
プロファイル設定の詳細
iOS のエコシステムでは、プロファイルを使用してデバイスを設定できます。プロファイルは、XML ファイル形式で iOS デバイスに配布され、たとえば、MDM 登録の仕組みとして機能しています。また、Apple 社の公式ツールの Apple Configurator 2 を使用して簡単に作成できます。こうしたプロファイルによって、アプリケーションの使用を制限できます。
スクリーンショットでわかるように、アプリケーション制限の対象となるのは、監視されているデバイスのみです。Talos の調査では、登録された iPhone は監視モードではありませんでした。ところが、正当な WhatsApp アプリケーションが消えており、その代役となった悪意のあるアプリケーションを利用せざるを得なくなっていました。これをどのように実行したのでしょうか。
年齢レートを悪用して、年齢が 9 歳以上のアプリケーションの使用を禁止したのです。
悪意のある MDM でホストされていたプロファイルの XML の内容を以下に示します。
<key>ratingApps</key> <integer>200</integer> <key>ratingMovies</key> <integer>1000</integer> <key>ratingRegion</key> <string>us</string> <key>ratingTVShows</key> <integer>1000</integer>
この設定では、200 は「9+」の年齢レートに相当します。
このプロファイルが iOS デバイスにインストールされると、アプリケーションはその年齢に制限され、デバイスにそのまま残りますが、利用やアクセスができなくなります。さらに、そのアイコンがデバイスのスプリングボードに表示されなくなります。App Store を利用すると、アプリケーションがインストールされていることがわかりますが、起動できません。デバイスの機能制限の設定は次のように制御できます。
ご覧のように、[機能制限(Restrictions)] では、文字がグレーになり「無効」を示していますが、有効になっています。
Apple Configurator、またはプロファイルの XML を Safari で開くことで、プロファイルを手動でインストールすると、[設定(Settings)] > [一般(General)] > [プロファイル(Profile)] メニューに新しいエントリとして表示されます。MDM によって展開されたプロファイルは表示されません(MDM 登録のプロファイルは存在しています)。
iPhone のプロファイルを確認する方法
次のビデオでは、攻撃者が悪意のある MDM プラットフォームにデバイスを登録して、そのデバイスのアクセス権を得る方法を説明します。かなりの数のユーザ操作が関係していることがわかります。しかし、攻撃者が電話をかけることで正確にソーシャル エンジニアリングできる場合や、デバイスに物理的にアクセスできる場合、デバイスは短期間で効果的に登録されます。
最初のビデオでは、エンド ユーザの観点から登録のプロセスを示しています。Talos では、Apple 社の iOS の最新バージョン 11.4.1 で動作する iPhone X を使用してこのテストを実施しました。このラボ用スマートフォンに改造や変更は一切行っていません。新品の iPhone X を最新の iOS にアップデートしています。
ビデオでわかるように、「インストール/信頼」のプロセスでユーザが何度か承諾することで、スマートフォンが登録されています。悪意のある MDM への登録が成功すれば、プロファイルとアプリケーションをデバイスにプッシュできます。それを再現すべく、この記事の前半で詳述したように、年齢制限のあるプロファイルをデバイスに仕掛けることができました。つまり、正当な WhatsApp を非表示にした後、MDM によって悪意のある新たなバージョンの WhatsApp をスマートフォンにプッシュできました。
ここで重要なのは、スマートフォンを MDM に登録するのに、悪意のあるマルウェア、脆弱性、ゼロデイが一切使用されていないことです。これはデバイス管理の正当な方法であり、世界中の企業が利用しています。攻撃者はそのプロセスを悪用しただけなのです。
Talos では、スマートフォンにプロファイルが追加されていないか、または MDM プラットフォームに登録されていないかを、次の方法で確認することを推奨します。
1.MDM によって設定された制限は、[設定(Settings)] > [一般(General)] > [プロファイルとデバイス管理(Profiles & Device Management)] >「MDM の構成」> [機能制限(Restrictions)] に移動すると確認できます。
2.また、MDM のプロファイルによってデバイスにインストールされたアプリケーションを確認するには、[設定(Settings)] > [一般(General)] > [プロファイルとデバイス管理(Profiles & Device Management)] >「MDM の構成」> [アプリ(Apps)] に移動します。
注意:[プロファイルとデバイス管理(Profiles & Device Management)] メニュー オプションが利用できない場合、そのスマートフォンは現在 MDM に登録されていないか、信頼された追加のプロファイルがスマートフォンに 1 つもないことになります。
まとめ
消費者の多くが、モバイル デバイスがマルウェアに感染しないように、バグや脆弱性を修正するパッチをダウンロードする必要があると考えます。しかし、今回の手法は、脆弱性を悪用したものではありません。攻撃者は、既存の正当な機能を悪用して正規のアプリケーションを非表示にする一方で、悪意のあるバージョンを展開します。デバイスが MDM に登録された後、ユーザがこの手法を認識することはありません。
MDM では、ユーザに気付かれずにプロファイルを展開できます。そのため、iPhone のプロファイルを監査し、疑わしいプロファイルは削除することを強くお勧めします。また、スマートフォンの機能制限メニューを表示すると、年齢レートが設定されていないかどうかを確認できます。
本稿は 2018年9月5日に Talos Group
Authors