Black Hat Keynote: Mobile Platforms ‘Actively Obstructing’ Zero-Day Malware Hunters
2021/08/04 SecurityWeek — 著名なセキュリティ専門家である Matt Tait は、水曜日に開催された Black Hat アニュアル・カンファレンスの冒頭で、急増するモバイル端末のゼロデイ攻撃やサプライチェーン攻撃に対処するため、プラットフォーム・ベンダーに対して、大幅な技術変更を要求した。Google Project Zero や、英国情報機関 GCHQ ににも、研究者として所属していた経験を持つ Tait は、現在進行中のゼロデイ攻撃に対応するために、モバイル・プラットフォームはデバイス上での観察能力 (on-device observability) の向上を、早急に実現する必要があると述べた。
Tait は、「膨大な量のゼロデイ脆弱性が、ワイルドに悪用されているが、デバイスには観察能力がない。この問題は、すべてのプラット・フォームベンダーにとって、警鐘を鳴らすべきことだと考える。 モバイル・プラットフォームにおいて、膨大な量のゼロデイが悪用されていることが分かっているが、そのデータを収集するためのデバイス・フォレンジックがないことに、とても不安を感じる」と述べている。
Corellium の COO は、インシデント・レスポンダーが高度な攻撃の規模を、適切に理解するためには、侵入前/侵入中/侵入後において、デバイス上での観察が必要になると説明している。Tait は、「新たな脅威アクターを発見したとき、インシデント・レスポンダーが最初に行うことは、膨大な量の Windows バイナリを参照し、同様の足跡の有無の確認することだ。もしかしたら、対象となる脅威アクターに関連する、別のマルウェアがあるかもしれない。それは、分類/検知と被害者の特定にも役立つ。つまり、このようなシステムが存在することで、攻撃者のコストが増大するはずなので、モバイルにも存在すべきだが、存在していない」と断言している。さらに悪いことに、モバイル・プラットフォームのベンダーが、デバイスのセキュリティ機能やデータ・アクセスに関する試みを、積極的に妨害していると、Tait は非難している。
彼は、「現在の問題は、モバイル分野のプラットフォーム・ベンダーが、我々が必要としているセキュリティ機能のいくつかを、積極的に妨害していることだ。そのひとつが、アプリケーションのスキャン機能だ。アプリストアにある、すべてのアプリケーションをスキャンできるようにすべきだ。Google Android の Play Storeでは、なんとなく可能だが、いまの iOS は不可能だ。また、モバイル・デバイスにセキュリティ・エージェントをインストールし、フォレンジック調査を行うことも可能にする必要がある。これは、侵害後の調査だけでなく、侵害自体を想定したものとなる。モバイル・システムはマルウェアのスキャン・ツールを防ぐために特別に設計されている」主張している。
モバイル・プラットフォーム以外についても、SolarWinds / CodeCov / Kesaya などに生じた、大規模サプライチェーン攻撃を阻止するためには、大手テクノロジー・プロバイダーが率先して、支援する必要がある。Tait は、「サプライチェーンにおける感染は、プラットフォーム・ベンダーが解決する他に道はない。政府には助けるつもりはない。テクノロジー・プロバイダーは積極的に、アプリケーションから特権を奪い、資格の許可を破り、監査要件を厳格に課す必要がある」と主張している。米国政府がソフトウェア・サプライチェーンの問題に対処するために、強制的なセキュリティ要件を積極的に推進しているが、これらの問題は連邦政府機関の官僚が解決できるものではないと、Tait は主張している。
彼は、「まず最初に指摘しておきたいのは、政府がサプライチェーン・セキュリティの問題を解決することは不可能だということだ。国際的な組織が集まっても解決できない。政府のコンソーシアムでは解決できない。サプライチェーンへの侵入という問題に、適切なスケールで対処できる唯一の道筋は、基礎となる技術を修正することだ」と付け加えている。真の解決策は、プラットフォーム・ベンダーが、コンピューティング全体の信頼性を自動化することだとテイトは主張しているが、テクノロジーの変化が「実質的なビジネス上の利益」と相反することもあるため、問題が残るとも認めている。
WordPress.com 上に置いてある、このブログも、iOS や Android といった端末から、Admin 権限で入れますし、とても便利なのですが、モバイル・マルウェアのことを考えると、とても不安になります。モバイルの利便性と相反しますが、アプリの数を減らすように、増やさないようにしています。大切なブログの MFA に使うスマフォで、ドミノ・ピザを注文することが、そもそも間違っているのかと、ついつい考えてしまいます。
IoT OT Security News 