Apple のデバイス登録プログラム (DEP) で発見されたセキュリティ上の脆弱性により、攻撃者が企業または学校のネットワークに完全にアクセスできる可能性があります。

DEPはAppleが提供する無料サービスで、カスタムアプリからVPN設定まで、新しいデバイスにあらゆる設定を自動的に行えるようにするものです。必要なのはデバイスのシリアル番号だけで、それが問題の根本原因だと、これを発見したセキュリティ研究者は述べています…

背景

組織が新しい Apple デバイスを構成する方法に詳しくない方のために、少し背景を説明します。

Apple製品を大量購入する企業、学校、その他の組織の多くは、モバイルデバイス管理（MDM）サーバーを活用しています。これにより、組織内で必要なすべてのアプリと設定を新しいデバイスに完全に適用できます。

Appleのデバイス登録プログラム（DEP）は、新しいデバイスをMDMに簡単にアクセスできるようにする方法です。シリアル番号を入力するだけで、その番号がAppleまたは正規販売代理店から提供されたデバイスの有効な番号であれば、アクセスが許可されます。

脆弱性

MDM サーバーはユーザー名とパスワードを要求するように構成できますが、シリアル番号のチェックで十分であると考えている組織では、そうしないこともあります。

Duo Researchによると、問題は2つあります。まず、従業員や学生が所有するデバイスのシリアル番号を入手するのは、必ずしもそれほど難しいことではありません。昔ながらのソーシャルエンジニアリング、例えばIT部門から監査目的でシリアル番号を尋ねる電話を装うといった手口です。こうすることで、悪意のある人物がDEP APIにクエリを実行し、組織に関する情報を入手して、他の攻撃に利用できるようになります。また、DEP APIにはクエリのレート制限がないため、ブルートフォース攻撃によってシリアル番号を推測することも可能です。

2 番目で、より深刻なのは、有効なシリアル番号が生成され、ユーザーが自分のデバイスを MDM サーバーに登録できるようになる可能性があることです。

シリアル番号は予測可能であり、よく知られたスキーマを使用して構築されています。つまり、攻撃者は不注意で漏洩したシリアル番号を見つける必要はなく、有効なシリアル番号を生成し、DEP APIを使用してそれらがDEPに登録されているかどうかをテストすることができます[…]

関連するMDMサーバーが追加の認証を強制しない構成では、悪意のある攻撃者が任意のデバイスを組織のMDMサーバーに登録できる可能性があります。選択したデバイスを組織のMDMサーバーに登録できれば、重大な結果を招く可能性があり、組織のプライベートリソースへのアクセスや、社内システムへの完全なVPNアクセスさえも可能になります。

アップルの対応

セキュリティ上の脆弱性が発見された場合、通常は責任のある企業に通知し、詳細を公表する前に90日間の修正期間を与えます。企業側からの要請があれば、延長期間が与えられることも少なくありません。

Duoは今年5月にAppleに通知し、本日になってようやく調査結果を公表しました。しかし、Appleは問題を修正せず、MDMで認証オプションを有効にするよう組織にアドバイスしただけだとDuoは述べています。

論文全文はここでお読みいただけます。

先月、MacのMDM登録処理における、これとは無関係の脆弱性が報告されました。この脆弱性により、攻撃者はユーザーが初めてデスクトップを見る前に、マシンに無制限のマルウェアをインストールできる可能性があります。

写真: ITProPortal

Apple のニュースをもっと知りたい場合は、YouTube の 9to5Mac をご覧ください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。