AndroidデバイスでMan-in-the-Disk攻撃を阻止

脅威の研究者も攻撃者も人工知能(AI)による機械学習を使うようになって、サイバーセキュリティを巡る戦いはますます速度を増し、ゼロトラスト環境にあるモバイルデバイスを巡って、高度な攻防が繰り広げられています。最高情報セキュリティ責任者(CISO)は、強力なツールで企業を守り、今の時代の働き方に対応する必要があります。このブログでは、MobileIron Threat Defenseが多層型防御セキュリティ戦略における防御策として機能し、Man-in-the-Disk攻撃を阻止するとともに、企業情報漏洩を食い止める方法をご説明します。

背景

ラスベガスで開催された情報セキュリティ国際会議「DEF CON 2018」では、すべてのAndroid OSデバイスを標的とするMan-in-the-Diskと呼ばれる攻撃が話題になりました。多くのアプリは、インストールや更新のためのデータや生成したデータファイルを一時的にリムーバブルSDカード上の保護されてないストレージに保存します。このデータはOSが共有し、モバイルデバイス上の他のアプリもアクセスできてしまいます。アプリ間での悪意のあるファイル共有を防ぐ本質的な対策は講じられていません。

どんな問題が起こるか?

簡単に言えば、攻撃者はマルウェアのようなエクスプロイトキット、あるいはデバイスやネットワークへの攻撃で、次のようなことができてしまいます。

  • 特定のアプリを攻撃し、ハッカーの侵入口となるバックドアを作る
  • 一時データのファイルを取得し、個人データや企業データを盗む
  • 他のアプリの動作を妨害する
  • 正当なアプリと悪意あるアプリを入れ替える
  • アプリのデータを操作し、特権昇格(EoP)攻撃でモバイルデバイスを完全に乗っ取る

実際の例で言えば、モバイルワーカーやリモートワーカーは、文書や動画を作成してアップロードしたり、メッセージングアプリで同僚と共有する場合があります。アプリが生成したデータファイルはリムーバブルSDカードに一時的に保存されます。そして、悪意あるアプリがこれをダークウェブにアップロードし、盗まれた業務データはオークションで最高額の落札者に売られます。

Man-in-the-Disk攻撃を阻止する方法

現在のところ、外部ハードウェアストレージを無効化する以外、この脅威を自動的に防止する対策はありません。外部ストレージを無効化すれば、アプリの一時ファイルはすべてAndroidの内部ストレージのアプリごとにコンテナ化されたサンドボックスに保存され、OSとは共有されません。
では、MobileIron UEMとThreat Defenseは、どのようにこのような脅威に対応するのでしょうか?モバイルデバイスをAndroidエンタープライズデバイス所有者(Device Ownder: DO)モードに設定し、USBファイルの転送と外部メディアを無効化すれば、最初からこのような攻撃を阻止できます。このUEMの設定方法は、下の図1をご覧ください。KNOX Standard設定が有効なSamsungデバイスの場合は、SDカードを無効化します。

図1 – MobileIron Cloud Androidエンタープライズデバイス所有者設定

図1 – MobileIron Cloud Androidエンタープライズデバイス所有者設定

 

MobileIron Threat Defenseは、常時の検出、通知、修復機能で次のようなMan-in-the-Disk攻撃の兆候に対応し、セキュリティを強化します。

  • 「アプリがSDカードからファイルを読み出す」脆弱性
  • 疑わしいAndroidアプリ

Threat Defenseは、検疫コンプライアンスアクションにより、このような脅威を修復します。

まとめ

FortniteやXiaomiブラウザのような人気アプリのユーザーに対して何のセキュリティ対策も実行しなければ、新たに発見されたMan-in-the-Disk攻撃は、個人データを詐取し、ユーザーのAndroidデバイスや、デバイスがデータやクラウドサービスにアクセスするために接続するネットワークにさらに大きな被害を与える可能性があります。 MobileIron Threat Defenseは、多層型防御セキュリティ戦略における予防策となり、Man-in-the-Disk攻撃を阻止するとともに、企業情報漏洩のリスクを軽減します。

参考資料