Proactive Defense 情報セキュリティサービス
サービスに関するお問い合わせ 0120-996-535 受付時間:平日10:00~18:00
  • 資料請求
  • お問い合わせ
  • お見積もり依頼
セキュリティへの取り組み
神戸デジタル・ラボ(KDL)では、専門の技術者をによるセキュリティ情報の収集の他に、暗号技術の研究開発や各種セキュリティコンテストへの参加や展示会への出展など、セキュリティに関する技術向上に対して積極的に行っています。また、セミナーや座談会を介して一般企業様のセキュリティリテラシの向上にも貢献しています。

iPhone、iPadセキュリティについて

弊社内を見回してもiPhoneユーザがたくさんいます。あっと言う間にスマートフォンユーザが増えてきている状況ですが、はたして、スマートフォンのセキュリティはどうなのでしょう?
企業内でスマートフォンを使用するにあたり、頭を痛めている管理者の皆様に、「iPhone、iPadセキュリティについて」と、「安全なスマートフォンの運用」についてご紹介したいと思います。
実はその記事を書くための実証を行っていたところ、類似の問題点が明るみに出ました。
iPhoneの操作を行うだけでパスワードのロックを突破し、アドレス帳や受信歴にアクセスすることができるという問題です。

1.iPhone独自の問題点、「今、iPhoneを落したら大変なことになります」

Secret Button Sequence Bypasses iPhone Security(2010/10/25)
http://www.wired.com/threatlevel/2010/10/iphone-snoop こちらのサイトから実際にパスワードのロックを突破する方法をビデオで示しています。実際に同僚の持つiPhoneを使って実験したところ、確かにパスワードのロックが外れました。つまり、iPhoneを落してしまうと、パスワードロックをかけていようがいまいが、iPhoneのアドレス帳などの個人情報が閲覧されてしまう可能性があるというものです。
開発時に使用していたバックドアがそのまま放置されたのでしょうか?全くこのような簡単な方法が残されているとは驚きです。
現在の最新バージョンはiOS4.1であり、公式には4.2のリリースは記載されていない (11/1現在)が、 本サイトの登録者が、Appleの広報担当に聞いた話では2010/11のiOS4.2リリースで対応するとのことです。
皆さん、4.2にバージョンアップするまで落さないように気をつけましょう。

2.実はPCと接続すればパスワードロックの回避はできた!?

実は先の脆弱性が発見される前から、iPad、iPhoneのパスワードロック回避の問題は存在していました。
今回、弊社社内の研究チームで、実証実験を行い、実際にパスワードロック回避ができることを確認しました。
iPhoneまたは、iPadをPCを接続して、強制的にジェルブレイク(Apple Store経由以外でもアプリのインストール可能状態に)することが可能です。その後、 iPhoneまたは、iPadのファイル共有ツールを使用してパスワードを削除して、ロック解除が可能となります。

このようにして、簡単にパスワードロックは回避することができますので、パスワードロックを信用した運用はしないでください。

3.携帯電話・スマートフォンの場合は?

今更ながらですが、携帯電話もツールを使用することで、パスワードロックは簡単に解除することができます。つまり、iPhone、iPadだから危険と言っているわけではなく、全て同じ問題を抱えています。
それでは、アンドロイドのスマートフォンの場合はどうでしょう? アンドロイドの場合もiPhone同様にrootのパスワードを奪取する方法がありますので、安全とは言い難い状況です。また、アプリケーションレベルで脆弱性があればそのアプリケーションが持っている情報は漏洩します。しかし、どのアプリケーションが安全なのか、どのアプリケーションにどのような脆弱性があるか、知るのは至難の業です。

4.モバイル機器のセキュリティ対策とは?

それでは、スマートフォン等のモバイル機器を企業で運用する場合、どのような点を注意すればいいでしょうか?
(1)遠隔地からロックするサービスを利用する
携帯プロバイダーには、携帯電話やモバイルフォンを落した場合に遠隔地から停止するサービスがありますので、積極的に利用されるのが良いと思われます。
但し、電波の届かない場所にある場合、電源が切られている場合には効果がありませんし、実際の紛失から紛失発覚までのタイムラグの間に情報が漏えいする可能性がありますので、これだけに頼るのは得策とは言えません。
(2)企業内のサービスをモバイル機器で使用する場合の管理
モバイル機器は落してしまったら、全ての情報が、取得者に漏れてしまう可能性があります。保存している情報は、取り戻し様がありませんが、モバイル機器を経由して利用している場合は、そのサービスを止めることで、それ以上の被害を食い止めることができます。
従って、そのモバイル機器を落してしまった場合に、どのサービスのどの権限を変更することで落してしまったモバイル機器のサービスを止めることができるか、事前に把握しておくことが必要です。
(3)落してしまった場合の体制を用意する
モバイル機器を落したことが発覚した場合、誰に連絡して、誰が利用可能サービスを停止するのか、予め体制を決めて、瞬時にサービス停止が可能な状況を作ることが必要です。
特にモバイル機器から社内イントラネットにアクセス可能な場合は、その権限を停止する措置が短時間に行える必要があります。
(4)利用者の教育
とはいえ、モバイル機器に標準で搭載されているアドレス帳には、個人情報が格納されていると思われます。 アドレス帳の利用を禁止することは、モバイル機器の利便性を著しく損ない現実的ではありません。
各利用者には、「パスワードがかかっているから安全」という認識を捨ててもらい、落としたらアドレス帳の全ての情報が漏えいする認識で、利用するように教育を行うのが良いでしょう。

*
セキュリティへの取り組み:アーカイブ