今回はモバイル関連のセキュリティブログから紹介しよう。まずはiPhone/iPadの「Jailbreak」(脱獄)に関するブログだ。

 米アップルのモバイルOS「iOS」を搭載した端末をジェイルブレークするツール「Jailbreakme.com」の最新版「バージョン3」が公開された。米ウェブセンスは、同ツールが「大変見事な仕事だが、大変危険だ」としてブログで注意を促した。

 Jailbreakme.com 3はとてもシンプルで、ウェブセンスの社内テストでは20秒以内でジェイルブレークを完了した。ブラウザーをクラッシュさせることもなく、インストールの様子と感覚は、まるで正規のモバイルアプリケーション配信/販売サービス「App Store」のようだったという。

 ウェブセンスが同ツールを危険だとするその理由は、ユーザーのアクションを必要とするものの、ドライブバイダウンロードのようにほぼ自動的に動作するためだ。脆弱性を突いたり攻撃ツールキットを利用したりして毎日行われているWindowsパソコンへの攻撃手法とよく似ている。jailbreakme.comサイトで「Free」(無料)ボタンを、続いて「Install」(インストール)ボタンをタップすると、ブラウザーを介してPDFファイルがダウンロードされる。ブラウザーに内蔵されたPDFリーダーが一部のフォントを処理する手法に存在する脆弱性を突くもので、これにより実際のジェイルブレーク用のコードをインストールする。

 iOSのジェイルブレイクはこれが初めてではない。事実、jailbreakme.comは2010年8月に、全く同じことに使われ、その際もPDFファイルが利用された。ソースコードは公開されているが、この脆弱性攻撃の悪意を持った使用は確認されなかった。しかし悪意のある攻撃者にとって、ジェイルブレークの仕組みをリバースエンジニアリングし、ユーザーのアクションを必要としないものを作り、ブラウザーあるいは電子メールを介してこっそり不正コードをユーザーのiOS端末にインストールさせるのは難しいことではない。もしこのような不正コードが作られたら、攻撃者は端末の制御権をすっかり握り、キーロガーなどあらゆるアプリケーションをインストールしてしまうだろう。あるいは、端末に送られて来たすべてのメールを第三者のアドレスに転送するかもしれない。iOSはUNIXベースのOS。何でも可能なのだ。

TwitterのDMで広がるフィッシング攻撃

 次は英ソフォスが紹介した、「Twitter」のDM(ダイレクトメッセージ)機能を使ったスパムメッセージについて。ほかのTwitterユーザーから送られてくるそのメッセージは「is this you in the video?(このビデオに写っているのはあなたですか?)」「is this you in this picture?(この写真はあなたですか?)」、あるいは「check this out... it's a funny blog post. you're mentioned in it.(面白いブログの投稿があります。あなたのことが書いてありますよ)」など、いくつかの種類がある。

 メッセージに掲載されたリンクをクリックすると、移動先は一見したところTwitterのログインページだが、URLを注意深く見ると本物のTwitterではないことが分かる。

偽ページのURLの画像

 自分が写っているビデオあるいは写真、または自分について書かれているブログ記事が見られると期待してユーザー名とパスワードを入力してしまうと、サイバー犯罪者にログイン情報を渡してしまうことになる。サイバー犯罪者はそれらの情報を使って、さらにネットワーク上で詐欺行為を拡大しようと、不正なリンクをスパム送信したり、同じログイン情報を使用している可能性のあるほかのWebサイトでパスワード入力を試したりする。

 もし、単一のパスワードを複数のWebサイトで使っているとしたら、犯罪者は一つのパスワードを手に入れるだけで、ほかのアカウントにもアクセスし、金銭的利益を得るための情報を盗み出すことができる。パスワードのセキュリティは、ますます重要性が高まっており、こうした問題を真剣に受け取らなければ、あとで降りかかる結果に悩まされることになる。

 Twitterの安全対策チームによれば、Twitterではフィッシング攻撃の被害に遭ったと思われるユーザーのパスワードをリセットしているという。

 万が一、自身のアカウントがこのようなスパムメッセージを送信するのに使われていたら、単にパスワードを変更するのではなく、ほかのサイトで同じパスワードを使っていないかよく考えてから新しいパスワードを決めることを、ソフォスは強調している。また「アカウント設定」の「アプリケーション」タブで、知らないうちにアクセスできるようになってる外部アプリケーションを削除することも忘れてはならない。