ウェズリー・ヒリアード
· 2分で読めます
ロックダウンモード
iPhone がすでにマルウェアに感染している場合、攻撃者がロックダウン モードがアクティブでないにもかかわらず、アクティブであるとユーザーを騙して信じ込ませる方法を Jamf は示しました。
一般的に信じられていることとは異なり、iPhoneはマルウェアに感染する可能性がありますが、その頻度は稀です。ゼロデイ脆弱性やゼロクリックエクスプロイトを悪用する攻撃者は、ユーザーのデバイスに感染させる可能性があります。ただし、こうした高度な攻撃は、多くの場合、高額な費用がかかり、実行も困難です。
Jamf Threat Labsは、iPhoneをロックダウンモード(実際にはロックダウンモードではない)であるかのように動作させる、概念実証的なエクスプロイト後の改ざん手法を開発しました。ユーザーはロックダウンモードを切り替えることができ、デバイスの再起動やSafariの警告といった視覚的なヒントが表示され、ユーザーに誤った安心感を与えます。
これはロックダウンモード、iPhoneのセキュリティ、あるいはオペレーティングシステムの欠陥ではありません。この改ざん手法は、既にマルウェアに感染したデバイスでのみ機能します。
Jamfはこの概念実証を研究し、ロックダウンモードには限界があることを強調しました。これはiOSデバイス上の攻撃対象領域を減らすシールドであり、感染を検出して排除するマルウェア対策ではありません。
ロックダウンモードは、攻撃が発生する前にデバイスで使用すると最も効果的です。これにより、攻撃者が侵入できるポイントの数が減少します。
警告はユーザーにロックダウンモードが有効化されていることを知らせます
システムの再起動はマルウェアによるユーザー監視を阻止するのに役立ちますが、Jamfはシステムの再起動ではなく、ユーザー空間の再起動を強制する方法を発見しました。これにより、挿入されたコードはロックダウンモードに対する柔軟な制御を維持できます。
ロックダウン モードではいくつかのアクションが実行されますが、そのほとんどはユーザーには見えません。
- メッセージ - ほとんどのメッセージ添付ファイルがブロックされ、一部の機能が利用できなくなります。
- FaceTime — 以前に通話したことのない相手からの FaceTime 通話の着信はブロックされます。
- Web ブラウジング - 一部の Web テクノロジとブラウジング機能がブロックされます。
- 共有アルバム - 共有アルバムはフォト アプリから削除され、新しい共有アルバムの招待はブロックされます。
- デバイス接続 - iPhone がロックされている間は、別のデバイスまたはアクセサリとの有線接続がブロックされます。
- Apple サービス — 以前に招待したことのない人からの Apple サービスへの招待はブロックされます。
- プロファイル - 学校や職場用のプロファイルなどの構成プロファイルはインストールできません。
ロックダウンモードを有効にする人は、その動作の全てを理解しているわけではないかもしれないため、Jamfは、ほんの数点を操作するだけで、ユーザーに誤った安心感を与えてしまう可能性があると考えています。例えば、ロックダウンモードが有効になっているときにSafariに表示される警告を変更しました。
Safariのロックダウンモード
前述の通り、この改ざん手法は、既にマルウェアに感染したiPhoneでのみ可能です。このような高度な攻撃は、莫大なリソースがなければ実行コストがかかり、困難であるため、外交官や政治ジャーナリスト以外の一般ユーザーは、このようなセキュリティリスクを心配する必要はまずないでしょう。
Appleはリリース時に、ロックダウンモードは攻撃リスクの高い特定の人々を対象としていることを明確にしました。この機能をオンにすると、iPhoneで利用できる機能が制限され、ユーザーは自分のデバイスが壊れていると考える可能性があります。ロックダウンモードをオンにする必要がある場合は、すぐにわかるでしょう。
