一般にアップル製品はセキュリティが高いと評されている。しかし2022年8月、米国のCISAがアップル製品についてソフトウェアアップデートの注意喚起を行った。macOS、iOS、Safariについて恣意的なコードが実行される脆弱性が発見され、実際の攻撃も確認されたという。その直前、「BlackHat USA 2022」では、2021年にパッチが公開されたmacOSの脆弱性の回避方法について発表があった。アップル製品は危険になってきているのだろうか? 相次ぐアップル製品の脆弱性報告の意味を考えてみたい。
<目次>
相次ぐアップル製品の脆弱性報告
iOS・macOSへの攻撃はここ数年に微増傾向
脆弱性報告=リスク大、なのだろうか?
「〇〇だから安全」は通用しない
★相次ぐアップル製品の脆弱性報告
米国サイバーセキュリティ・社会基盤安全保障庁(CISA:Cybersecurity and Infrastructure Security Agency)が、アップル製品のソフトウェアアップデートについて注意を促すアナウンスを行った。具体的なパッチ情報はCVE-2022-32893、CVE-2022-32894に関するものだ。Webkit(32893)とiOS・macOSのメモリ境界処理に関する脆弱性により、攻撃サイトや悪意のあるアプリによって任意コードの実行を許してしまうというものである。2022年6月に登録申請されたこれらのCVEは、原稿執筆時点の8月21日現在、米国立標準技術研究所(NIST)の脆弱性情報データベース(NVD:National Vulnerability Database)に詳細情報は登録されていないが、アップルからはセキュリティアップデートがアナウンスされている。
世界最大の情報セキュリティカンファレンス「BlackHat USA 2022」で発表されたmacOSの脆弱性は、CVE-2021-30873というプロセス制御に関するものだ。パッチは公開され、アップルとしての対応は終わっているが、脆弱性がプロセス管理に関連するもので、未対応の危険なアプリが残っていることに加え、対策済みのバージョンでもプロセスの注入が可能という報告だ。
誤解のないように先に明言しておくが、アップル関係の脆弱性報告が続いたのは、単なる偶然である。BlackHatでの発表は半年以上前から公募が行われ、審査・選定のうえ決定される。アップルおよびCISAのアナウンスは、6月に脆弱性の詳細を把握し8月にパッチリリースされていることから、緊急対応的な動きがうかがえる。
しかし、これらの発表に加え、国内ではサイドローディング解禁が問題となっていたり、TikTokのiOSアプリに当局の監視機能と思われるキーロガーが報告されたりといった動きがみられた。改めて「iOS・macOSは比較的安全」という神話を振り返る必要性を感じる。
★iOS・macOSへの攻撃はここ数年に微増傾向
近年、IT環境がクラウドシフトするにつれ、ビジネスシーンでもMacを利用するユーザーが増えている。特にWeb・クラウド系の開発者は、開発環境がクラウドに集中するため、ローカル端末のOSの種類を選ばなくなってきている。ベースがUNIX(BSD)であるmacOSを好むエンジニアも少なくない。ユーザーが増え利用シーンが広がれば、それだけ攻撃者の注目を集めることになる。
StatCounterの調査によると、現在、OSの世界シェアは1位がAndroid(44.66%)、2位がWindows(27.92%)3位がiOS・macOS(23.22%:iOS17.85%+macOS5.37%)である。macOSやiOSもある程度のシェアがあり、脆弱性情報は気になるところである。実際、アップル製品の脆弱性報告は増えているのだろうか? NVDのデータから考えてみよう。
NVDは、米国の連邦政府が資金提供する非営利組織MITREが採番・管理する脆弱性情報のCVE番号とその内容を収めたデータベースだ。NVDへのデータ提供はMITREのほか、JPCERTコーディネーションセンター(JPCERT/CC)など主要国のセキュリティ機関、マイクロソフトなど大手ベンダーが行っている。脆弱性ハンドリングの枠組みで管理される世界中の情報が集まっているデータベースと言ってよい。
OSごとの脆弱性報告件数をみると、Androidは件数・パーセントともに2017年から減少傾向をみせている(図1)。Windowsは増減を繰り返しているが、2020年以降は減少している(図2)。iOSは2015年のピーク以降、減少傾向がみられるものの、2019年以降は横ばい(報告件数は増加傾向だがパーセントは横ばい)だ。2022年に件数、パーセントともに落ち込んでいるが、夏以降の推移次第で判断は変わってく。
★脆弱性報告=リスク大、なのだろうか?
以上の結果だけをみると、AndroidよりiOS・macOSのほうが危険といえなくもない。普及率45%近いAndroidと20%少しのアップル系OSで、脆弱性報告の割合は同じ4%前後である。また微量ながら報告件数も増加傾向がみられる。冒頭に述べたように、アップル系のOS市場は広がっている。市場で拡大するプラットフォームへの攻撃が増えるのは道理だ
しかし、一方で普及率30%近いWindowsも5%以上の報告率で推移している。iOSなどが特段危険ということでもない。また、脆弱性の報告件数は必ずしもそのプラットフォームや製品の危険度を表すものでもない。発見・報告される脆弱性の中には、「深刻な影響を及ぼすが、実際の攻撃が確認されていないもの」「される前にパッチ公開されているもの」「影響(インパクト)は大きいが、発生可能性が低い、攻撃成立の条件が限られているもの」もある。
脆弱性ハンドリングにおいて、その報告をする主体は、セキュリティエンジニア、ベンダーエンジニア、バグハンターやホワイトハッカー、ペンテスターたちだ。脆弱性は彼らの研究モチベーションでもあり、報酬ねらいの側面もある。バグを見つけた人に報奨金を出すバグバウンティプログラムは、メタ(旧フェイスブック)、グーグル、マイクロソフトなど大手ベンダーが、ソーシャルデバッグとしてセキュリティ対策に活用している現実もある。
ちなみに、ここ数年のアップル製品の脆弱性報告が増えているのは、バグバウンティプログラムが影響している可能性もある。同社がこのプログラムを正式に導入したのは2019年からだ。微増傾向はそれ以降続いているという見方も可能だ(今回はその因果関係までは検証していない)。そして、公開される脆弱性情報はパッチや対策・改善策が伴う。対策をしっかり行えばセキュリティはむしろ高まる。この場合、脆弱性情報の公開件数・報告件数は、潜在的な危険度を表すがシステムとしての安全性を示す指標にも使える。
★「〇〇だから安全」は通用しない
10年以上前のサイバー攻撃は、OSや製品プラットフォームと深く結びついた攻撃が一般的だった。アプリやOSの脆弱性を利用して侵入、データ窃盗、破壊するマルウェアがメインストリームだったといえる。
だが、現在は攻撃目的がより先鋭化し、金銭目的に加えハクティビズムやステートスポンサードな攻撃が増え、攻撃手法がソーシャルエンジニアリング系の攻撃にシフトしている。クラウド環境の拡大と相まって、アカウント情報やクレデンシャル情報の窃取に攻撃の主軸が置かれる。特定のOSやプラットフォームに限定した対策では不十分なのだ。
具体的には、フィッシング、スピアフィッシング、標的型攻撃メールなどでアカウント情報を入力させたりドロッパーなどをダウンロードさせたりする攻撃が増えている。これらは、特定OSごとのセキュリティ強化というより、自社の情報資産やシステム全体に対する防御視点が欠かせない。
アカウント情報やセッション情報を得た攻撃者は、なりすましや中間者攻撃でシステムに侵入してくる。ここで若干のOS依存の脆弱性や対策が必要になるが、正規アカウントで実行される処理の不正検出は監視やふるまい分析、リスクベース評価など別の対策が必要だ。
結局のところ、特定OSや特定プラットフォームという分類で、危険度やリスクを議論する場合、その前提条件や比較条件を明確にしないと、間違ったリスク評価を行うことになる。AndroidやWindowsにマルウェアが多い、iOS・macOSは少ないというのは事実かもしれないが、それが安全なのか危険なのかは利用状況や環境に依存することを忘れないでほしい。
https://www.sbbit.jp/article/cont1/94748?page=1
コメント