ロックされたiPhoneが6分でハッキング…スマートフォンはもはや電話じゃないことを忘れずに
昨日、こんな動画がYouTubeに投稿されました。
パスコードをかけてロックしたiPhoneから、キーチェーンに設定されている情報が盗み出せる、というデモ動画です。
例えば職場のWiFiのパスワードや、VPNやRDPクライアントを使っているならそのパスワード、ローカルで持っているアプリケーションパスワードが全て分かってしまうと言うことのようです。
この動画については、タイトルがミスリーディングを誘うと言う批判もありますが、PCWorldの以下の記事に詳細が書かれています。
▼IPhone Attack Reveals Passwords in Six Minutes - PCWorld
最近は、EC-Studioさんなどの影響もあり、会社がスマートフォン、特にiPhoneを社員に支給することが珍しくありません。
スマートフォンは「Phone」という文字がついていますが、今までの携帯電話の枠を越えた、小さなPCと言ってもいいような機能を備えています。
その進化を享受するのはとても大事なことだと思いますが、それと同時に「スマートフォン」の紛失について、これはもはや機密情報の入った「PC」を紛失したという意識を、きちんと持つ必要をひしひしと感じました。
どのような手順で行われるのか
この動画では以下の手順で、iPhone内のキーチェーンに設定されている情報にアクセスしています。
- ロックがかかっているiPhoneを適当なマシンに繋いでjailbreak(脱獄)させる
- 脱獄させたら、SSHサーバを送り込み、ソフトウェアを動かせるようにする
- SSHサーバでキーチェーンを解析するスクリプトを動かす
- 平文でキーチェーン内の情報が閲覧できてしまう
キーチェーンには、「メールアカウントのパスワード、Wi-Fi パスワード、および Web サイトやその他のアプリケーションに入力するパスワードなど」が入っているようです(Appleサポートページより)
例えば職場のWiFiのパスワードや、VPNやRDPクライアントを使っているならそのパスワード、ローカルで持っているアプリケーションパスワードが全て分かってしまうと言うことです。
とくにWiFiやVPNは企業としては一大事ですね。
(しかし、ロック時でも強制脱獄させることができるというのもびっくりですが…)
対処法は
今のところ、拾われて同じ事をされたら打つ手はありません。
MobileMeを契約していなくとも今は「iPhoneを探す」ができたり、リモートワイプも月額費用はかかりますが、可能です。
しかし、
- 発見されてすぐにSIMカードを抜かれれば、通信ができなくなるのでリモートワイプもできない
- リモートワイプは法人のみ利用可能(恐らく)
- こちらから指示を出さない限りリモートワイプは働かない(何時間SIMを抜かれていたら、等の設定ができない)
など、懸念点はたくさんあります。
とは言え、本体のロックを解除できるわけではなく、キーチェーン内の情報にアクセスできるようになるだけなので、
- できるだけ本体内にパスワードを持たないこと
- VPNやWiFiの情報は、面倒でも毎回手動で入力するようにすること
- 落としたと気づいたら即座にリモートワイプすること(そもそもリモートワイプを申し込んでおくこと)
などは、ビジネス用途ならやっておくべきなのかなと思います。
便利さの裏側にあるリスクを、忘れないようにしておきたいものですね。
無料「ウェブ解析ガイドブック」のご案内
アクセス解析やウェブサイトの現場での運用について書いた初心者向けガイドブック、『「現場で使える」WEB解析入門』をリリースしました。
企業でウェブ解析を内製化したい!ノウハウを溜めたい!というあなたにぴったりです。約3万文字、ぜひ会社に一冊どうぞ。
無料でダウンロードできますので、ぜひお持ち帰り下さい。印刷も自由です。(^-^
WEB戦略ニュースレターで、さらに定期的にノウハウを