新たな調査によると、監視制御・データ収集(SCADA)システムと連携するモバイル アプリのセキュリティは過去 2 年半で低下している。
IOActiveとIoTセキュリティのスタートアップ企業Embediの専門家チームは、SCADAシステム向けの最も人気のあるAndroidモバイルアプリ34個に147件の脆弱性を発見したと発表した。
モバイルアプリケーションはSCADAシステムと連携して使用されることが増えています。研究者らは、これらのアプリには「産業用制御システムを操作するSCADAシステムに深刻な影響を及ぼす可能性のある脆弱性が数多く存在する」と警告しています。
この脆弱性が悪用されると、攻撃者が産業プロセスを妨害したり、産業ネットワーク インフラストラクチャを侵害したりする可能性があります。
モバイル アプリが現代の産業用制御システム アーキテクチャにどのように適合するか [出典: IOActive ホワイト ペーパー]
サンプルアプリの94%にコード改ざんの脆弱性が発見
テストされた 34 個の Android アプリケーションは、Google Play ストアからランダムに選択されました。
この研究は、バックエンドファジングとリバースエンジニアリングを用いたソフトウェアとハードウェアのテストに焦点を当てました。チームは、安全でないデータストレージや通信から、安全でない暗号化やコード改ざんのリスクに至るまで、幅広いセキュリティ脆弱性を発見することに成功しました。
調査により、セキュリティ上の脆弱性のトップ5は、コードの改ざん(アプリの94%)、安全でない認証(アプリの59%)、リバースエンジニアリング(アプリの53%)、安全でないデータストレージ(アプリの47%)、安全でない通信(アプリの38%)であることが明らかになった。
同じ研究チームは、2015 年に 20 個の Android アプリで 50 件の脆弱性を発見しました。したがって、34 個のアプリで 147 件の脆弱性が増加したことは、アプリあたり平均 1.6 件の脆弱性の増加を示しています。
研究の技術的な詳細は、IOActive のセキュリティ コンサルタントである Alexander Bolshev 氏と、Embedi の情報セキュリティ監査人である Ivan Yushkevich 氏が新しい論文「モノのインターネット時代の SCADA とモバイル セキュリティ」で発表する予定です。
ボルシェフ氏は次のように説明した。「攻撃者が脆弱性を悪用するためにスマートフォンに物理的にアクセスする必要はなく、ICS(産業用制御システム)制御アプリケーションを直接標的にする必要もありません。スマートフォンユーザーがデバイスに何らかの悪意のあるアプリケーションをダウンロードした場合、そのアプリケーションはICSのソフトウェアおよびハードウェアに使用されている脆弱なアプリケーションを攻撃する可能性があります。」
「その結果、攻撃者はモバイルアプリを使って他のアプリを攻撃することになる」と彼は付け加えた。
ユシュケビッチ氏はさらにこう付け加えた。「開発者は、このようなアプリケーションが基本的にミッションクリティカルなICSシステムへのゲートウェイであることを念頭に置く必要があります。アプリケーション開発者は、セキュアコーディングのベストプラクティスを採用し、危険でコストのかかる攻撃からアプリケーションとシステムを保護することが重要です。」
ユシュケビッチ氏は、研究チームが「今回の研究結果を2015年の前回の研究結果と比較」するためにGoogle Playアプリのみをテストしたと述べた。
これらの脆弱性によって発生する可能性のある脅威について、彼は次のように述べています。「明らかにされた脆弱性の中には、クライアント側の脆弱性もあります。例えば、SQLインジェクションによってデバイスの動作が妨害される可能性があります。」
「ここで説明されている脆弱性のほとんどを悪用するには、ハッカーはトラフィックを傍受し、被害者が存在するネットワークセグメントに到達するだけで済みます。したがって、SQLインジェクションの脆弱性はここでは例外です。」
IOActive と Embedi は、影響を受けたベンダーに調査結果を通知し、修正が実施されるように複数のベンダーと調整を行っています。®
