Jamf社主催のセキュリティイベント「今そこにある脅威!macOSとiOS最新セキュリティ対策」レポート
2023年8月16日(水)、macOSセキュリティの一人者であるPatrick Wardle氏(Objective-See Foundation創設者)が来日され、Jamf社主催のもと日本のITセキュリティ担当者向けのセミナー「今そこにある脅威!macOSとiOS最新セキュリティ対策」が開催されました。
今回のブログでは、当日のセッション内容をレポート形式でお届けします。
目次
Latest threats to macOS and iOS 〜macOSとiOSへの最新脅威情報〜(Objective-See Foundation Patrick Wardle氏)
最初のセッションでは、Patrick氏からmacOSやiOSを取り巻く最新の脅威として、どのような攻撃があるのか紹介がありました。
DUMMY
シンプルなリバースシェル
・攻撃者はリモートでの攻撃が可能に
・リモートサーバへ接続し、ファイルハンドルをコピー(stdin/out/errorをソケットにリダイレクト)、対話型シェルを生成
IPStorm
クロスプラットフォーム・リモートシェル(拡散機能あり)
・SSHブルートフォースを用いてインターネット上のユーザーに拡散し、多くのデバイスに感染
・接続が確立されるとペイロードをダウンロードし、システムに感染
GoRAT
フル装備のバックドア
・感染されたシステムからアップロードされ、ネットワークを経由しながら他のシステムに対して感染
・複数のネットワークのストリームをマルチフレックス化して、一つの接続の中で実行するため検知が難しい
LOCKBIT(For Apple Silicon)
ランサムウェア集団がmacOSを狙う
・Appleのシリコン用のペイロード
・ランサムウェアとしてファイルをブロック
Triangulation(スパイウェア)
iOS向けマルウェア
・ネットワーク異常を検知することで判明
・アンチウイルスのソリューションベンダーKasperskyをターゲットにしている
・ネットワークベースのアプローチ以外では、iOSマルウェアの検知は不可能に近い
サプライチェーン攻撃
組織間の業務上の繋がりを悪用
・サプライチェーンに不可欠なサービスやソフトウェアを提供する、信頼できるサードパーティーやベンダーを狙う
・ハッカーがソフトウェアにマルウェアを仕込み、知らずに使った企業がサプライチェーンで繋がっている先の企業に広げていってしまう
・企業の約半数がサプライチェーン攻撃を経験している
サプライチェーン攻撃については、3CX社が提供するVoIPソフトウェアThe 3CX Clientのインストーラー改ざんの事例を挙げ、詳しい内容を解説しました。
感染の経緯
①北朝鮮の攻撃者がTrading Technologies社に攻撃、同社サイトからインストールしたソフトウェアにマルウェアが埋め込まれていた
②ここから攻撃者が3CX社のネットワークに侵入し、macOS向けのインストーラーを改ざん
③The 3CX ClientをインストールしたユーザーのMacに、攻撃者がアクセス可能に
実際の挙動として、このマルウェアはmacOSの「SystemVersion.plist(macOSのバージョン情報等が書き込まれた環境設定ファイル)」を開き、それらの情報を攻撃者に送信していたり、C&C攻撃(攻撃者のリモートサーバーから感染端末に対して遠隔で不正なコマンドを送信する)がおこなわれていたりしたそうです。
ここで攻撃に使用されたAgentは再起動などをしても終了せず、持続性がありバックドアにもランサムウェアにもなりうるとのことでした。
この攻撃が明らかになった発端は、3CXのサポートフォーラムに一人のユーザーが「挙動がおかしい」とコメントしたことでした。
その際、3CX側は「アンチウイルスソフトのベンダーに問い合わせて欲しい」と対応しましたが、Patrick氏は「このような問い合わせに対して真摯に対応するべきだった」と述べました。
また、本事例の特徴として、このインストーラーがAppleの公証(Notarization)をうけ、署名されていた点がありました。
Patrick氏は、サプライチェーン攻撃はコントロールすることが難しいとしつつも、病気を例に「何かおかしいことがあったら仕事を休み、病院に行くべきだが、それはサイバー攻撃に関しても同じことである」と、振る舞いベースの攻撃検知ソリューションの利用と、持続的な監視が重要であることを強調しました。
本公演の結論では、macOSへの攻撃のトレンドとして「流行度」、「複雑さ」、「影響度」という3つのポイントが挙げられました。
「Macの人気が上がるにつれ、攻撃者からも狙われやすくなってきている。攻撃自体も洗練され、複雑性が増している。以前ならMacはランサムウェアやサプライチェーン攻撃とは無縁と言われていたがもうそういう時代ではない」と話しました。
そして、「新たな脅威に対しての理解と振る舞い検知がセキュリティにとって重要である」という言葉を改めて述べ、Patrick氏のセッションは終了となりました。
セッション終了後には、参加した弊社メンバーから、Patrick氏にiOS向けマルウェアの感染経路について質問が上がりました。
Patrick氏からは、「プロファイルやパスワードもあるが、WEBサイト経由での感染が多く、iMessageやWhatsAppなどのメッセージアプリを悪用している例もある。メッセージアプリ利用の場合は、発覚し捕まるリスクが低く、ITセキュリティの知見が深いような犯罪組織が、国家ぐるみでおこなっているケースもある」との回答をいただきました。
Jamf Trusted AccessによるmacOSの脅威対策 最新版(Jamf Japan合同会社 Sales Enablement Manager 松嶋 真悟氏)
はじめに、Jamf Japanの松嶋氏は、Jamf社のことを「企業・組織がAppleデバイスの利用を促進していくにあたって、利便性とセキュリティ間のギャップを埋めるソリューションを展開している」と紹介しました。
そして、Jamf製品は「Trusted Access」をキーワードに、「Manage」、「Connect」、「Protect」の3要素からなっていることを述べたのち、「Manage」はJamf Proによるデバイス管理、「Connect」はJamf Connectによるアイデンティティ認証、「Protect」はJamf Protectによるエンドポイント保護を指し、それらすべてが掛け合わされることによって企業での安全なデバイス利用が可能になることを説明しました。
また、3つのJamf製品を、「チケット」、「本人確認」、「保安検査」という飛行機への搭乗プロセスに例えました。
①「チケット」=Jamf Pro
「目的地や搭乗者情報が載ったチケットを持っている」=組織によってデバイスが管理されている。ユーザーがシリアル番号等を知っていて、会社のポリシーによって制御できている状態。
②「本人確認」=Jamf Connect
「チケットの所有者が本当にその人だと確認する」=デバイスの使用者が認証されている。認証されたアイデンティティを用いて、特定の従業員に特定のアクセスを与えた状態。
③「保安検査」=Jamf Protect
「利用者が危険物を持ち込んでいないか検査する」=デバイスが安全に利用されているか監視されている。エンドポイントセキュリティが機能していて、安全が確認できている状態。
特に、①と②だけでは安全ではなく、「3要素が揃って初めて安全に飛行機に搭乗可能(=デバイスを使用可能)である」と述べました。
最後に、Macのセキュリティへの課題を5つあげ、それに対応するJamf Protectの機能を紹介しました。
①ベストなセキュリティ設定がわからない
→Jamf Protectの「Insights機能」にて、Macの設定状況を可視化、社内Macのセキュリティ上の弱みを発見。CISベンチマークにも対応可能。
②マルウェア対策
→Jamf Protectの「Threat Prevention機能」にて、マルウェアの起動を阻止しウイルスへの感染を防止。ファイルシステムのスキャンをおこなわないことで、macOS自体に負荷をかけることもない。
③ユーザやアプリの振る舞い
→Jamf Protectの「Analytics機能」にて、MITRE ATT&CKに準拠した脅威検出機能で振る舞いを常時監視し、怪しい挙動のアラートを出すことが可能。また、DeviceControlにて外部デバイスの使用制御が可能。
④フィッシング、有害サイトへのアクセス
→Jamf Protectの「Web Threat Prevention機能」にて、最新の機械学習システム「Mi:RIAM」を元に脅威と思われるサイトへのアクセスをブロック。
⑤ログについて
→Jamf Protectの「Endpoint Telemetry機能」にて、macOSで日々膨大に出力されるデバイスログをコンテキスト化、6MB程度に圧縮してSIEMに送信、SIEMで分析することが可能。
「これらの機能によって、企業での安全なMac利用が可能にある」と松嶋氏は結論づけました。
iOS/iPadOSのセキュリティ対策への新しいアプローチ 〜Jamf Executive Threat Protection〜(Jamf Japan合同会社 Sales Engineer 酒井 淳氏)
Jamf Japanの酒井氏は、モバイルデバイスのセキュリティが、ビジネスにおいてすでに必需品となっているにも関わらず、まだPCほどの攻撃感知が難しく、保護しきれていない現状を指摘しました。
攻撃の種類としては、APT攻撃やゼロデイ攻撃などが存在し、IOC分析やフォレンジックの需要が高まっているとのことでした。
しかし、フォレンジックは時間がかかることに加え、MDMフレームワークやAPIだけでは、高度なシステムの可視性や高度な検出レベルが限定されてしまうという課題もあり、その課題を解決する製品としてJamf Executive Threat Protection(通称:JETP)という製品を紹介しました。
JETPは、デバイスで何が起こったのかを知るための効率的なデータ収集と、高度な攻撃に対する対策を行う製品で、元々ZecOps社が開発していたものを、Jamf社が買収し、ポートフォリオに加えたものです。
主な機能
・モバイルデバイスを即時分析
・インシデントを確認した場合、即時に停止が可能
・脅威防止のためにデバイス再起動やOSバージョン更新も可能
重要な情報をデバイスに保存しているユーザー向けの製品のため、クラウドだけではなくオンプレミスでも展開がされています。
また、データの収集方法としては、アプリケーションおよびPCからのUSB接続の2パターンを提供しており、パスワードや通話データ、写真、ブラウザ履歴などの個人情報は収集しない点も特徴となっています。
デバイス状況については、PDFやWord形式での出力、メールやslackへの転送機能も搭載しているとのことです。
JETPの大きな特徴として、「EDRやMTD製品で対処できない部分をカバーし、フォレンジックに頼ることなく対応できる点」を強調し、セッションは終了しました。
まとめ
macOSやiOSを取り巻く最新の脅威と、Jamf製品を活用したデバイス保護について学ぶことができるセミナーでした。
Appleデバイスを業務利用している企業において、デバイスのセキュリティ対策について考えるいい機会になったのではないでしょうか?
Jamf製品に関して、機能や価格など気になることがありましたら、ぜひお気軽にお問い合わせください。
記事は2023年9月29日現在の内容です。
この記事に付けられたタグ
おすすめ記事を見る