モバイルセキュリティ専門家のジョージア・ワイドマン氏は木曜日、ロンドンで開催されたAppSec EUカンファレンスで、 AppSec EUのIT管理者は、国家が支援する高度なゼロデイ攻撃を心配するのではなく、ネットワークセキュリティの基礎に重点を置くべきだと語った。
モバイル セキュリティ テスト会社 Shevirah の創設者兼 CTO であるワイドマン氏は、6 年前にブラックハット グループに加わってこの業界で経験を積んだ。ブラックハット グループでは、エリート セキュリティ研究者たちが奇抜なエクスプロイトで互いに競い合い、フィッシング メールやリンクに基づく攻撃を軽蔑していた。
企業顧客のモバイル デバイス管理やその他のテクノロジーのテストを支援し始めてから、Weidman 氏は、ほとんどの問題の原因は単純なものであることに気づきました。
国家トップレベルの政府系ハッカーが前代未聞の脆弱性を悪用するのではないかと恐れるよりも、フィッシングリンクや怪しいアプリをブロックし、携帯端末からBluetooth経由で漏洩するファイルを防ぐ防御策に注力すべきです。こうした事態は、はるかに起こり得ます。
「パッチを当てるか、フィッシング攻撃を受けるかのどちらかです」とワイドマン氏は基調講演後、レジスター紙に語った。「国家がゼロデイ攻撃にいくら費やしても無駄です。私たちはまだ基本的な対策をきちんと講じていないのです」
従業員が使用するモバイルデバイスにおける不正利用の兆候を探している企業は、AppleのApp Storeに代わる、脱獄済みのiOS iThingsを入手できるCydiaを探すことが多い。企業のセキュリティポリシーに違反する脱獄アプリの存在は問題となる可能性があるが、Cydiaの存在だけでは十分ではない。データ窃盗アプリの方がはるかに脅威となる。
同様に、ワイドマン氏は、電子メールだけでなく複数の通信チャネルを通じてデバイスを攻撃する可能性のあるモバイルフィッシング攻撃に対して従業員は警戒するよう訓練されるべきだと述べた。
コントロールはそこにあるので、それを使用してください
シスコ、マジで?またパスワードがハードコードされてるの?なんてこった
続きを読む
プレゼンテーションの中で、ワイドマン氏は、モバイル脅威防御やモバイル アプリケーション管理など、市場で入手可能なエンタープライズ グレードのセキュリティ制御について説明し、攻撃を受けた場合にそれらが不十分になる可能性がある例を示しました。
ワイドマン氏は、NSA、ウェストポイント、Black Hatセキュリティカンファレンスなど、世界各地の会場で講演やトレーニングを実施してきました。モバイルデバイスのセキュリティに関する研究を継続するため、DARPAサイバーファストトラック助成金を獲得し、オープンソースのスマートフォンペネトレーションテストフレームワーク(SPF)のリリースに至りました。
現在、彼女はテスト目的でiOSとAndroidの概念実証エクスプロイトを開発している。Androidは非常に断片化されているため、信頼性の高いエクスプロイトを開発するのは難しいと、ワイドマン氏はプレゼンテーションの中で述べた。
講演後、ワイドマン氏は個人的に、Google が Project Zero イニシアチブやその他の手段を通じてモバイル エクスプロイト研究をオープンソース化したことを称賛しました。®
