ビジネス向け Apple デバイスには重大なセキュリティ上の欠陥がある

Apple の Device Enrollment Program (DEP) には、ハッカーが悪用できる大きなセキュリティ ホールが存在します。このニュースは、Wi-Fi パスワードやビジネス ログインなどがハッカーに公開される可能性がある Apple デバイスの重大な脆弱性を発見した Duo Security からのものです。

問題は、デバイスの認証と、Apple の DEP システムの仕組みが理解されていないことにあります。 Apple はシリアル番号を使用して企業の DEP にデバイスを追加するだけであるため、ハッカーはオンラインにアクセスしてデバイスのシリアル番号を取得し、デバイスにサインアップすることができます。シリアル番号は無害な情報であると考えられているため、ハッシュ化されておらず、誰でも入手できることを意味します。

現在、ハッカーはシリアル番号を武器に、あらゆるデバイスを組織のモバイル デバイス管理 (MDM) サーバーに登録し、特権情報にアクセスできるようになります。すべての組織でユーザー認証が有効になっているわけではなく、Apple のドキュメントにはその必要性について記載されていないため、アクセスが許可されます。このため、多くの企業は、MDM がこれを自動的に実行すると信じています。そうではありません。

次を読む: Apple がどのようにして世界初の 1 兆ドル企業になったか

研究者らによって特定された別の問題により、攻撃者がオープンソース インテリジェンス、ブルート フォース攻撃、またはソーシャル エンジニアリングを使用してデバイスのシリアル番号を見つけることができることが明らかになりました。 DEP は電話番号や電子メール アドレスなどのデータを提供するため、犯罪者が会社のヘルプ デスクや IT チームを攻撃する可能性があります。

Apple はユーザーを識別するために必要な情報としてデバイスのシリアル番号以外は何も使用しないため、犯罪者が侵入するのは非常に簡単です。Apple がセキュリティ手段としてユーザー認証も要求することを企業の要件にすると、企業はそうするでしょう。これらの攻撃からより適切に保護されます。

「あるいは、関連する MDM サーバーが追加の認証を強制しない構成では、悪意のある攻撃者が任意のデバイスを組織の MDM サーバーに登録する可能性があります」と Duo Security のシニア R&D エンジニア、James Barclay 氏は述べています。

「選択したデバイスを組織の MDM サーバーに登録できる機能は、組織のプライベート リソースへのアクセス、さらには内部システムへの完全な VPN アクセスを許可するなど、重大な結果をもたらす可能性があります。」