Havebin

Ipad

元脱獄者たちが、包括的なプラットフォームで消費者と企業のiOSのセキュリティ確保に取り組むc

Havebin
qlamk
0 Comments
元脱獄者たちが、包括的なプラットフォームで消費者と企業のiOSのセキュリティ確保に取り組むc
元脱獄者たちが、包括的なプラットフォームで消費者と企業のiOSのセキュリティ確保に取り組むc

約5年にわたり、ハッカーとプログラマーのチームは、AppleのiOSソフトウェアコードを解読し、新機能、テーマ、アプリケーションを注入するために精力的に取り組んできました。現在、著名な元脱獄開発者であるウィル・ストラファック(別名「Chronic」)とジョシュア・ヒル(別名「P0sixninja」)が率いるチームが、Appleのモバイルプラットフォームのセキュリティ確保に取り組んでいます。この2人は、名前を伏せた元脱獄開発者たちと共に、企業と消費者の両方にとってiOSデバイスを保護するための新たな包括的プラットフォームの開発に取り組んでいます。ストラファック氏は、新会社Sudo Security Groupの最初のセキュリティ製品となる「Apollo」と呼ばれるプラットフォームのプレビュー版を私たちに提供してくれました。

電話インタビューで、ストラファック氏はまず、こうしたアプリケーションに興味を持つ人々が最初に抱くであろう疑問に答えた。「なぜ脱獄開発者にデバイスのセキュリティ確保を任せるべきなのか?」ストラファック氏の説明によると、彼と彼のチームは、オペレーティングシステムのコア部分をいじくり回してきた経験から、Appleの開発者を除けば、iOSやその他のモバイルプラットフォームの内部構造について、おそらく他のどの開発者グループよりも詳しいだろう。

「長年、逆アセンブルツールに埋もれながら仕組みを研究してきたおかげで、iOSシステムを隅々まで理解しています。どの弱点に注意を払うべきか、どの部分が肥大化していて、まだ考慮されていない形で脆弱になっている可能性があるかを把握しています」とストラファック氏は述べ、彼のチームは今、「単に「どうやって壊すか」を考えるのではなく、「どうやって物事を改善するか」を考えるという、同様に重要な課題に取り組んでいると付け加えた。

ストラファック氏の説明によると、Apolloセキュリティプラットフォームは、エンタープライズ向けとコンシューマー向けアプリケーションの2つの部分に分けられます。まずはエンタープライズ向けソフトウェアから見ていきましょう。多くの大企業は、「MDM」サービスと呼ばれるモバイルデバイス管理ソフトウェアを使用して、従業員が使用する多数のiPhoneやiPadなどを管理しています。例えば、Appleは独自のネイティブツールを提供しており、大手ソフトウェア開発会社のVMWareはAirWatchという独自のソリューションを提供しています。

Apolloスイートは、セキュリティに重点を置くことで他社製品との差別化を図っています。具体的には、「Guardian」と呼ばれるバックエンドサービスを使用して、ユーザーのiPhoneにインストールされたアプリケーションをスキャンし、ユーザーデータの窃取、マルウェアの注入、バックグラウンドインストールの試行、メールを介したフィッシング攻撃、ファイルシステムのセキュリティ弱体化につながるコードが含まれていないかを確認します。具体的には、ストラファッハ氏は、従業員が個人所有のデバイスを社内に持ち込む際にApolloが実行できるアプリケーションセキュリティチェックのリストを以下のように紹介しました。

  • 機密データの漏洩(意図的、または安全でない接続による)
  • 許可されていない/認可されていない地域のサーバーとの通信
  • プライベートAPIやプライバシーを侵害するAPIの利用
  • 安全でないソースからのバイナリダウンロードの試み
  • 再確認が必要となる可能性のある疑わしいアプリケーションの動作

このサービスには、従業員が社内に持ち込まないデバイスを対象とする、より強力なセキュリティ機能も多数用意されています。

  • 厳格なアプリケーションのホワイトリストとブラックリスト機能
  • 必要に応じてデバイスのロックダウンを制限できます。ユーザーグループまたは個々のユーザーに基づいて設定できます。
  • App Store、メッセージなどのシステム アプリケーションを無効にします。
  • スクリーンショット、データ同期などのシステム機能を無効にします。
  • ウェブコンテンツフィルタリング、自由なオプションと強力なオプションの両方が利用可能
  • 脅威に注意するためにネットワークI/Oアクティビティを厳重に監視する
  • アクティベーション ロック アシスタント – 個人の Apple ID によって会社所有のデバイスがロックアウトされることはもうありません。
  • 特殊なケースのマルウェア監視 - 危険なスキミングマルウェアが POS の iPad や iPhone に侵入しないことを確認します。
  • ハードリセット/復元 (「DFU 復元」) を実行しても、デバイスから MDM および保護ソフトウェアを削除することをブロックします。
  • いつでもシステム全体のデータ消去を実行できます
  • 紛失または盗難にあった会社所有のデバイスが再び使用されないようにする

Seyfarth Shaw LLPのeDiscovery弁護士パートナーで、Sudo Security Groupに助言を行っているリチャード・ルトカス氏は、信頼できないエンドポイント上の自社データを100%制御したい企業にとって、このソフトウェアは理想的だと述べています。特に、Sudoアプリケーションセキュリティ監視ソフトウェアは、デバイスがマルウェアに感染しておらず、コンプライアンスに準拠していることを保証します。これは、一部の企業が従業員に個人用ハードウェアの持参を求めていることと深く関係しています。ルトカス氏は、このソフトウェアは個人データをApolloシステムの管理者から保護することで、ユーザーのプライバシーを守り、セキュリティを確保していると明言しました。

  • 個人データと機密性の高い作業データを完全に分離します。
  • 個人データには触れずに、仕事関連のコンテンツをデバイスから消去します。
  • すべての BYOD デバイス上の仕事関連のあらゆるものを完全に制御しながら、ユーザーは妥協することなく個人のアプリケーションとデータを完全に制御できます。

潜在的な攻撃を特定して防止するだけでなく、Apollo には侵害を修正するための修復システムが統合されています。

  • エンドユーザーによる自己修復を奨励するポリシーを策定し、プロセスを合理化して IT ワークロードを削減します。
  • さまざまなレベルのセキュリティ問題に対応する強力なワークフローを作成する
  • 検出されたセキュリティ違反を通知するメッセージをデバイス所有者に送信します。
  • 検出されたセキュリティ違反を通知するために、デバイス所有者のマネージャーまたは IT 部門にメッセージを送信します。
  • より重大な違反に対してITヘルプデスクチケットを自動的に生成
  • 職場のデバイスから非準拠のアプリケーションを削除します。
  • セキュリティ問題が修正されるまで、仕事用アプリへのアクセスを禁止します。
  • セキュリティ問題が修正されるまで、仕事用メールへのアクセスを禁止します。
  • セキュリティ問題が修正されるまで、Work VPN へのアクセスを禁止します
  • セキュリティ問題が修正されるまで、職場の WiFi ネットワークへの接続を防止します。
  • セキュリティ問題が修正されるまで、シングル サインオンの使用を禁止します。
  • セキュリティ問題が修正されるまで、作業文書とデータを開くことができないようにします。
  • 問題が修正された後、システムの整合性が保たれ、脅威が存在しないことを確認するために、セキュリティ センター エージェントでシステムの再スキャンを要求します。

こうした高度な技術的詳細や機能に加え、エンタープライズスイートの最も興味深い機能は、Touch IDを「デッドマンスイッチ」として統合していることでしょう。このシステムは、上記の例では5日ごとなど、一定の日数ごとにポップアップを表示し、ユーザーに指紋認証を求めます。このシステムは、デバイスが所有者によって引き続き使用されていることを確認するために設計されています。これは、単にアプリケーションにログインするだけにとどまらない、Touch IDの興味深いユースケースです。Strafach氏は、この仕組みについて「ユーザー自身がデバイスを所有していることを確認するための、暗号的に安全で検証済みのメカニズムを提供します。PKI(公開鍵基盤)とデバイス内蔵のSecure Enclaveを活用してデバイスの所有を確実に検証しているため、ユーザーの本物の指紋を使用する以外に回避策はありません」と説明しています。

エンタープライズシステムには、従業員による特定の種類のアプリケーションへのアクセスをブロックするシンプルな方法も用意されています。例えば、CTOは、Apolloプラットフォーム搭載デバイスを使用している従業員が、連絡先にアクセスしたりGPSデータを取得したりするアプリをインストールできないように設定できます。ストラファック氏によると、このシステムはインストールを完全にブロックするか、個々の従業員に警告を送信するだけか、カスタマイズ可能です。ストラファック氏によると、アプリケーション分析に使用するサーバーは、企業のオンプレミスまたはクラウドベースのサーバーインフラストラクチャに接続する必要があるとのことです。ただし、彼のチームは将来的に、この現在の要件を回避できる中小企業向けバージョンもリリースしたいと考えています。

ストラファック氏によると、App Storeの制限により、前述のコンシューマー向けアプリケーションはユーザーがインストールした他のアプリを実際に読み取ることができないため、OS内のマルウェアや悪意のあるサーバーへの接続のチェックに重点が置かれているとのことです。インタビューの中で、ストラファック氏はこの点とApp Storeの一般的な承認プロセスについて触れました。

コンシューマーレベルのアプリでは、App Store に準拠した方法で、役立つ検出機能を創造的に追加することができました。しかし、皆さんご存知のとおり、許可された API ではアクセスできない特定の機能があり、それが私たちのエンタープライズ向けサービスがこれと結びつく方法の 1 つです。Apple MDM エンタープライズ API は、App Store 準拠の API で許可されているよりも多くの情報を収集できるため、これを活用してユーザーのメリットも高めています。Apple はデータを安全に保ち、機密データが漏洩しないようにしたいと考えています。そのため、その一環として、バイナリ分析エンジンを使用して、特定の侵入型アプリがデバイスに読み込まれないようにしています。しかし、私たちが既にこれを実行しているのであれば、これをさらに一歩進めるのは理にかなっています。つまり、企業はあまり気にしないかもしれませんが、ユーザーのプライバシーの観点から、位置情報や性別を広告プロバイダーに送信するアプリケーションなど、ユーザーが絶対に気にする検出機能を追加しました。これにより、従業員が自分のデバイスを雇用主の BYOD プログラムに登録するインセンティブが高まり、実際にメリットが得られる可能性があるため、デバイスに強制される「ビッグ ブラザー」タイプのソリューションという現在の概念から当社のサービスをさらに遠ざけ、双方にメリットのあるエクスペリエンスを生み出すことができます。

ストラファック氏によると、同社は2016年上半期にエンタープライズシステムをリリースする予定とのことです。特別なパイロットプログラムと無料のコンシューマー向けアプリケーションのベータ版は、近日中に9to5Macの読者向けに公開される予定です。また、関心をお持ちの方は登録用のウェブサイトも開設されており、近日中にプラットフォームに関する追加情報が更新される予定です。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like