企業や行政機関、NPO団体など、どのような組織でも、信頼できる安全なモバイルコミュニケーションが必須となっています。実際のところ、選択肢は限られており、基本的にGoogleのAndroid(アンドロイド)かiOSをベースとしたAppleのiPhoneかどちらかです。サードパーティ製プログラムに対する制限、アプリストアの厳格な管理、これまでに発見されているマルウェアの少なさを見ると、一見、iPhoneの方が安全性が高そうです。しかし、本当にそうでしょうか。掘り下げて確かめてみましょう。
iOSは本当に安全なのか
いわゆる「合法的な監視用ソフトウェア」であるPegasusの登場により、近年ではAppleデバイスのマルウェア感染のニュースを耳にするのが当たり前になってきました。しかし、Pegasusの被害者は主に活動家や政治家、ジャーナリストがほとんどで、その脅威は都市伝説のように扱われてきました。危険ではあるものの、特定の標的を狙うことから(自ら探しに行かなければ)実際に遭遇する可能性は極めて低いと思われてきました。ところが、この脅威は最近身近なものになりました。2023年6月に発表した当社経営陣に対するTriangulationというマルウェアを使用した攻撃は、Appleのモバイル機器を利用した極めて複雑で専門的な標的型攻撃です。この攻撃に関する詳細な分析については、間もなく開かれるSecurity Analyst Summit(SAS)で発表する予定です。参加方法などについては、SASの特設ページをご覧ください(英語)。
標準的なモバイルコミュニケーションの手段としてiPhoneを使用していた、民間企業の当社が標的となりました。当社は、徹底的な調査を実施し、自動的に感染の痕跡を見つけ出すtriangle checkユーティリティを公開しました。そして、同様の攻撃を受けた被害者に情報をお寄せいただくためのメールボックスを開設しました。すると、Appleのスマートフォンを使用している他のユーザーたちから、デバイスに感染の兆候が見つかったというメールが次々と寄せられました。このように、iPhoneに対する標的型攻撃はもはや珍しくないことがわかりました。
セキュリティの幻想
iOSは、Androidよりはるかに安全だと繰り返し言われてきたことが、状況を悪化させる要因となっています。脅威はないと一般に言われてきたからこそ、多くの人はその危険性に注意してこなかったのです。「ウイルスに感染した人がいたとしても、自分は大丈夫だろう」と思い込んでいます。
情報セキュリティに精通している会社の同僚にも、Triangulationに感染していたことを信じることができない人がいました。この脅威の情報が公開されても、説得しないとiPhoneにマルウェアの痕跡があるかどうかチェックせず、自分が標的になっていたことがわかると本当に驚いていた人もいました。
「私なんてハッキングする価値はない」と思えば気が楽ですが、その考え方は危険です。そう言えるのにはいくつもの理由があります。スマートフォンがハッキングされるのは、必ずしもその持ち主が重要な標的だからではありません。その人が経営トップや官僚と何らかの関係があれば攻撃対象となる十分な理由になります。また、本来の標的と同じ会議に出席することや、物理的に近くにいることも理由になる場合もあります。そして、自分のデバイスから重要なビジネスに関する情報が漏えいすれば、突如としてあなたが非難の矢面に立たされることになります。
本当の問題
脆弱性が売買される市場を詳しく見てみると、ダークネットのフォーラムであれ、Zerodiumのようなグレーなプラットフォームであれ、iOSとAndroidのエクスプロイトの価格はほぼ同程度で取引されています。これは、攻撃者の市場でこれらのシステムのセキュリティレベルがどう見られているかを示しています。ものによっては、iOSよりもAndroidのエクスプロイトの方が高額なものさえあります。いずれにしても、どちらのシステムも標的となりえます。
しかしこの二つには決定的な違いがあります。それは、脅威に対抗するためのツールが手に入るかどうかです。攻撃者が最新のゼロデイ脆弱性を悪用して、Appleご自慢のセキュリティメカニズムを回避してきた場合、ユーザーにはなすすべがありません。そのような攻撃があったこともわからないままとなる可能性が高いでしょう。システムに制限があるため、トップレベルのプロでさえ、攻撃者の狙いが何であったのか問題の核心を突き止めるのに苦労することになるでしょう。それに対してAndroidベースのスマートフォンなら、アンチウイルスだけでなく社用端末のリモート管理ができるMDM(モバイルデバイス管理)ソリューションも備えた、本格的なセキュリティソリューションを導入することができます。
細かく見ていくと、喧伝されているiOSのメリットは、ひとたび攻撃が発生すれば、実際にはデメリットになることがわかります。閉鎖的なエコシステムであるため、外部のセキュリティ専門家が立ち入れないことが、攻撃者にとっては好都合となっているのです。もちろん、Appleのエンジニアは間違いが起きないような優れた防御を構築しており、ユーザーがうっかり悪意のあるサイトにアクセスしてトロイの木馬が仕掛けられたAPKなどをダウンロードすることがないようになっています。しかし、iPhoneがハッキングされた場合(巧妙な攻撃者であればそれが可能であることは事実が示しています)、被害者はAppleが助けてくれるのを期待するほかありません。それも、そのハッキングが迅速に検知されることが前提となります。
脅威の規模
これまでiOSに対して行われた実際の攻撃は、標的型キャンペーンの一環であったという見方も安心材料にはなりません。一般の認識として、EternalBlueというエクスプロイトはある政府機関によって開発されたもので、非常に限られた用途向けでした。しかし、Shadow Brokersと名乗る集団がこのエクスプロイトを流出させると、サイバー犯罪者の手に渡り、世界規模のWannaCryというランサムウェア攻撃に使用されました。
Appleのアプリストアであっても絶対安全とは言えなくなっています。筆者の同僚は最近、App Storeで複数の詐欺アプリを発見しています。一定の条件下でユーザーの個人データを窃取するフィッシング目的のアプリです。まだ大きな脅威となってはいませんが、前例ができているのは事実です。悪意のあるペイロードを含むアプリがAppleの厳格な管理をすり抜けて、公式のアプリストアで公開されています。
対応策
Triangulationの教訓から、多くの民間企業や政府機関と同様に当社も、iPhoneの業務上の使用を段階的に縮小しています。現時点での代替策として、有効性が証明されている当社のソリューションを搭載したAndroidを使用しています。その方が攻撃のハードルが高いということではありません。防御がしやすく、攻撃の兆候を見つけやすいためです。
OSに対するアドオンは理想的ではなく、これが最終的な解決策ではありません。セキュリティソリューションは「獲得免疫」の原則に則っています。すでに発見された脅威と同様のものに対する防御を提供します。理想的なのは、スマートフォンが自然免疫を持ち、意図しないアクションが実行されない仕様になることです。残念ながら、そのようなスマートフォンは存在しません。今のところは。