Apple の強力なセキュリティ対策により、マルウェアは事実上無関係なものとなっているが、iOS デバイスの所有者は、自分自身がセキュリティチェーンの脆弱なリンクにならないように注意する必要がある。
インターネット大手シスコが今週発表し、アップルのマーケティング責任者フィル・シラーがツイートした調査では、モバイル機器のセキュリティに関してはサードパーティ製アプリが最大の懸念材料であると指摘されている。
「多くのユーザーは、セキュリティについて何も考えずにモバイルアプリを定期的にダウンロードしている」と報告書は述べている。
モバイルアプリに関してシスコが懸念しているのはマルウェアではありません。むしろ、フィッシングのような古くからあるソーシャルエンジニアリングの手法の方が大きな懸念材料です。フィッシングとは、悪意のある人物が正規の企業を装い、何も知らないユーザーを騙してユーザー名、パスワード、金融情報などの個人情報を盗み取ろうとするものです。悪名高い「ナイジェリアの王子」メール詐欺はその好例です。
シスコによると、「多くのユーザーは、セキュリティについて何も考えずにモバイルアプリを定期的にダウンロードしています。」
ユーザーがApp Storeのコンテンツに暗黙の信頼を置いていることが、この問題をさらに複雑にしています。今週、Appleはアプリ内購入をめぐって連邦取引委員会と和解しました。この紛争は、親がApple IDのパスワードを子供に盲目的に教え、その影響について十分な時間をかけて理解していなかったことに端を発しています。
この場合、両親はクレジットカードの請求額が少し増えただけで済んだ。しかし、状況が違えば同じ行動をとれば、はるかに広範囲にわたる影響が生じる可能性があり、この問題は最近iOS開発者コミュニティで大きな騒動となっている。
人気のソーシャルカレンダーアプリ「Sunrise」は、iCloudカレンダーを追加する際にiOS内蔵のカレンダーアクセスAPIではなく、Apple IDの認証情報の入力を求めていることで批判を浴びています。Sunriseはこの情報を正当な目的で使用しています。つまり、Sunriseのサーバー上で稼働するサービスは、このアクセスなしでは実装が困難、あるいは不可能な重要な機能を実現しているのです。
SunriseカレンダーのiCloud設定パネル |スクリーンショット:Marco Arment
Instapaperの開発者であるマルコ・アーメント氏が指摘した問題は、Apple IDが多くのiPhoneおよびiPadユーザーにとって事実上の鍵となっていることです。iOSデバイスをiCloudバックアップから復元するとどうなるか考えてみてください。iMessage、キーチェーンデータ、メールアカウント、カレンダー、連絡先、そしてデータでいっぱいのアプリがすべてクラウドから無事に復元されます。
もちろん、新しいデバイスがアカウントに追加されるとユーザーには通知されますが、たとえそのメッセージに気付いたとしても、手遅れになる可能性もあります。Wiredの記者マット・ホナンは2012年にそのような経験をしました。
「たった1時間で、私のデジタルライフは完全に破壊されました。まずGoogleアカウントが乗っ取られ、削除されました。次にTwitterアカウントが乗っ取られ、人種差別や同性愛嫌悪のメッセージを拡散するプラットフォームとして利用されました。そして最悪だったのは、私のApple IDアカウントがハッキングされ、ハッカーがそれを使ってiPhone、iPad、MacBookのすべてのデータを遠隔操作で消去したことです」とホナンさんは書いている。
確かに、見知らぬ人が数週間または数か月分の iMessage の機密会話を収集していると考えると、多くの人が青ざめるでしょう。
ホナン氏への攻撃は、悪名を狙ったハッカーによって公然と実行されたため、容易に察知された。しかし、もしもっと巧妙な攻撃だったらどうだっただろうか?見知らぬ人が数週間、あるいは数ヶ月分の機密性の高いiMessageの会話を収集していたら、きっと多くの人が愕然とするだろう。
攻撃者はフィッシングアプリをApp Storeに忍び込ませる手間すらかかりません。多くのサービスはアクセス認証情報をクラウドサーバーに保存しており、攻撃ベクトルの数が飛躍的に増加しています。Sunriseは昨年11月にWebインフラへの攻撃を受け、ユーザーにiCloudのパスワードをリセットするよう警告せざるを得ませんでした。
幸いなことに、これらの潜在的な問題は常識を働かせることで簡単に軽減できます。ユーザーが街角で見知らぬ人に社会保障番号を教えないのと同じように、自分のApple IDにアクセスできるサービスを慎重に判断する必要があります。Appleはまた、1台のデバイスで複数のアカウントの使用を許可しています。1つのアカウントをiCloudキーチェーンなどの機密情報に使用し、もう1つのアカウントでカレンダーなどの重要度の低いデータを同期することも可能です。
