[Black Hat USA 2014レポート] MDM＝Mobile Device Mismanagement？～MDM 製品のペネトレーションテスト結果（NTT Com Security）

年に一度、米ラスベガスで開催される、世界最大級のサイバーセキュリティカンファレンス Black Hat USA。本稿では、8月6日から開催された Black Hat USA 2014 Briefings の会場で発表された、NTT コミュニケーションズ株式会社の海外子会社 NTT Com Security の Stephen Breen 氏と、Christopher Camejo 氏による講演の要旨をレポートする。NTT Com Security のエシカル（倫理的）ハッキングチームに所属し、過去 Firefox や ColdFusion の脆弱性などを発見した経歴を持ち、さまざまなペネトレーションテストの技術やツールに詳しいバックグランドを持つ Stephen 氏らが今回の講演のために選んだのは、MDM（Mobile Device Management）製品そのものの脆弱性を、ペネトレーションテストによって明らかにするという野心的なテーマだった。BYOD の普及で MDM 製品の導入を完了している多数の企業のセキュリティ管理者の関心を大いに集めた本講演は、Black Hat USA 2014 が開催された、マンダレイ ベイ コンベンションセンターの最も広いホールのひとつで行われ、特定分野の研究テーマながらも多数の聴衆を集めることに成功していた。●CVE 登録件数ゼロ、MDM 製品には脆弱性がない？MDM 製品は、スタッフのモバイルデバイスの管理とセキュリティ確保を求める、数多くの企業や組織によって利用されており、AirWatch、MobileIron、Citrix、SAP、McAfee、Sophos、Trend Micro、Kaspersky Lab、Symantec など、多くのベンダから提供されている。企業におけるスマートフォンやタブレットPCの利活用と、個人所有端末の業務利用である BYOD は急速な拡大を続けており、それを管理するための MDM 製品カテゴリは、今後も成長が見込まれている。これまでのところ、MDM 製品の脆弱性は CVE に 1 件も登録されていない。しかし Stephen 氏らは、複数の MDM 製品には、共通する脆弱性が存在すると考えた。オープンソースの暗号ソフトウェアライブラリ OpenSSL の脆弱性「Heartbleed」など、昨今、セキュリティ製品自体が攻撃対象になりつつあるという認識を持っていたからだ。●ペネトレーションテストの実施と結果Stephen 氏 と Camejo 氏らは、プロトコルが標準化され、MDM 用 API が決められているため、より安全性が高いと一般にはみなされている iOS の MDM 製品に絞ってペネトレーションテストを実施した。多くの MDM ベンダでは検証用物品の提供が行われず、有効なツールの情報も少ないため、診断は容易ではなかったという。なお、発見された全ての脆弱性はすでにベンダに報告され、パッチが適用されているか今後適用予定であるという。なお本講演では脆弱性が発見されたベンダ名がバイネームで示されることはなかった。ペネトレーションテストの結果、端末をMDMに登録するプロセスにおいて、「暗号化無しのサーバとの通信」「認証エラーの見落とし」「予測可能である、あるいはいつまでも失効しない等の認証情報の管理不備」などの問題が存在し、iOS MDM API のさまざまなコマンドを組み合わせることが可能であることが明らかになった。それによって、たとえば攻撃者は、MDM に登録された特定端末になりすまし、MDMサーバを通じて機密性の高い情報にアクセスするなどの、深刻な影響をもたらす攻撃が可能になる。●MDM 製品に関する彼らの主張講演のしめくくりで彼らが述べた「あらゆる IT プロダクトの導入は攻撃を受ける可能性を増加させるが、(MDM のような)セキュリティ製品もその例外ではない（Everything increases attack surface, even security products）」という、彼らのユーザー向けのアドバイスは、若干の戸惑いをもって会場で受けとめられた。危険性が増すことが事実だとしても、かといって MDM を入れないという選択もまた、セキュリティ管理上難しいからである。プレゼンテーションの冒頭部分では、現在、世界でおよそ 1 億 8 千万台の BYOD デバイス数が 2015 年までに 3 億 9 千万台まで増加する予測値が示された。いかなる製品にも脆弱性があり、攻撃のターゲットとなりうる以上、今後も広範な普及が予想される MDM 製品もまた、他の製品やソフトウェア同様、脆弱性情報を公開し、パッチを供給する仕組み作りを進めていくことが重要である。検証により根拠を示して、その必要性を問うた点において、 NTT Com Security の講演は、MDM 製品の進化に一石を投じる講演であったといえる。元の記事を読む