🥇モバイルウイルス対策が機能しない

TL; DR 会社のモバイルデバイスにウイルス対策が必要な場合は、すべてが間違っており、ウイルス対策は役に立ちません。

この投稿は、企業の携帯電話にウイルス対策が必要かどうか、どのような場合に機能し、どのような場合に役に立たないのかについての激しい議論の結果です。この記事では、理論上、ウイルス対策ソフトウェアが保護すべき脅威モデルについて考察します。

ウイルス対策ベンダーは、多くの場合、ウイルス対策によってセキュリティが大幅に向上すると企業顧客を説得することができますが、ほとんどの場合、これは幻想的な保護であり、ユーザーと管理者の両方の警戒心を低下させるだけです。

適切な企業インフラストラクチャ

企業に従業員が数十人、さらには数千人いる場合、各ユーザーのデバイスを手動で構成することは不可能です。設定は毎日変更され、新しい従業員が入社し、携帯電話やラップトップが壊れたり紛失したりする可能性があります。その結果、管理者のすべての作業は、従業員のデバイスに新しい設定を毎日展開することで構成されます。

この問題はデスクトップコンピュータでずっと前に解決され始めました。 Windows の世界では、このような管理は通常、Active Directory、集中認証システム (シングルサインイン) などを使用して行われます。しかし現在では、全従業員が自分のコンピュータにスマートフォンを追加しており、作業プロセスの重要な部分がそこで行われ、重要なデータが保存されています。 Microsoft は、Windows Phone を Windows との単一のエコシステムに統合しようとしましたが、このアイデアは Windows Phone の正式な廃止とともに消滅しました。したがって、企業環境では、いずれにしても Android か iOS のどちらかを選択する必要があります。

現在、企業環境では、従業員のデバイスを管理するための UEM (統合エンドポイント管理) の概念が流行しています。これは、モバイルデバイスとデスクトップコンピューターを集中管理するシステムです。

ユーザーデバイスの一元管理（統合エンドポイント管理）

UEM システム管理者は、ユーザーデバイスにさまざまなポリシーを設定できます。たとえば、ユーザーがデバイスを多かれ少なかれ制御できるようにしたり、サードパーティのソースからアプリケーションをインストールしたりできます。

UEM でできること:

すべての設定を管理する — 管理者は、ユーザーがデバイスの設定を変更することを完全に禁止し、リモートで変更することができます。

デバイス上の制御ソフトウェア — デバイスにプログラムをインストールし、ユーザーの知らないうちにプログラムを自動的にインストールする機能を許可します。管理者は、アプリケーションストアまたは信頼できないソース (Android の場合は APK ファイル) からのプログラムのインストールをブロックまたは許可することもできます。

リモートブロック — 電話を紛失した場合、管理者はデバイスをブロックするか、データを消去できます。一部のシステムでは、電話機が N 時間以上サーバーに接続しなかった場合に自動データ削除を設定でき、サーバーからデータ消去コマンドが送信される前に攻撃者が SIM カードを取り外すことができた場合にオフラインハッキングが試みられる可能性を排除できます。。

統計の収集 — ユーザーのアクティビティ、アプリケーションの使用時間、場所、バッテリーレベルなどを追跡します。

UEMとは何ですか?

従業員のスマートフォンを集中管理するには、根本的に異なる XNUMX つのアプローチがあります。XNUMX つのケースでは、会社は従業員用に XNUMX つのメーカーからデバイスを購入し、通常は同じサプライヤーからの管理システムを選択します。別のケースでは、従業員が個人のデバイスを仕事に使用しており、ここからオペレーティングシステム、バージョン、プラットフォームの動物園が始まります。

BYOD (Bring your own device) は、従業員が個人のデバイスとアカウントを使用して仕事をするという概念です。一部の集中管理システムでは、XNUMX つ目の職場アカウントを追加して、データを個人用と仕事用に完全に分離できます。

アップルビジネスマネージャー - Apple のネイティブ集中管理システム。 Apple デバイス、macOS および iOS スマートフォンを搭載したコンピュータのみを管理できます。 BYOD をサポートし、別の iCloud アカウントを使用して XNUMX 番目の隔離された環境を作成します。

Google Cloud エンドポイント管理 — Windows 10 上のデスクトップだけでなく、Android および Apple iOS 上の電話機も管理できます。BYOD サポートが宣言されています。

サムスンノックス UEM - Samsung モバイルデバイスのみをサポートします。この場合、すぐに使用できるのはサムスンモバイル管理.

実際には、他にも多くの UEM プロバイダーがありますが、この記事ではそれらすべてを分析することはしません。留意すべき主な点は、そのようなシステムはすでに存在しており、管理者は既存の脅威モデルに合わせてユーザーデバイスを適切に設定できるということです。

脅威モデル

保護ツールを選択する前に、何から身を守るのか、特定のケースで何が起こり得る最悪の事態を理解する必要があります。比較的に言うと、私たちの体は銃弾やフォークや釘にさえ簡単に傷つきやすいのに、家を出るときに防弾チョッキを着ません。したがって、統計的にはそれほどありそうもないことではありませんが、私たちの脅威モデルには通勤途中に撃たれるリスクは含まれていません。さらに、特定の状況では、防弾チョッキの着用は完全に正当化されます。

脅威モデルは企業ごとに異なります。たとえば、顧客に荷物を配達する途中の配達員のスマートフォンを考えてみましょう。彼のスマートフォンには、今回の配達先の住所と地図上のルートしか記載されていない。彼のデータに起こり得る最悪の事態は、小包の配達先住所の漏洩です。

そしてこちらが会計士のスマートフォンです。彼は VPN 経由で企業ネットワークにアクセスし、企業顧客と銀行のアプリケーションをインストールし、貴重な情報が記載された文書を保管しています。明らかに、これら XNUMX つのデバイス上のデータの価値は大きく異なるため、異なる方法で保護する必要があります。

ウイルス対策は私たちを救ってくれるのでしょうか？

残念ながら、マーケティングスローガンの背後では、ウイルス対策ソフトウェアがモバイルデバイス上で実行するタスクの本当の意味は失われています。ウイルス対策が電話で何を行うのかを詳しく理解してみましょう。

セキュリティ監査

最新のモバイルアンチウイルスのほとんどは、デバイスのセキュリティ設定を監査します。この監査は「デバイスの評判チェック」と呼ばれることもあります。ウイルス対策プログラムは、次の XNUMX つの条件が満たされている場合、デバイスが安全であると判断します。

デバイスはハッキングされていません (ルート、ジェイルブレイク)。
デバイスにはパスワードが設定されています。
USB デバッグがデバイスで有効になっていません。
信頼できないソースからのアプリケーションのインストール (サイドローディング) は、デバイスでは許可されません。

スキャンの結果、デバイスが安全ではないことが判明した場合、ウイルス対策ソフトは所有者に通知し、「危険な」機能を無効にするか、root またはジェイルブレイクの兆候がある場合は工場出荷時のファームウェアに戻すよう提案します。

企業の慣例によれば、ユーザーに通知するだけでは十分ではありません。安全でない構成は削除する必要があります。これを行うには、UEM システムを使用してモバイルデバイスにセキュリティポリシーを構成する必要があります。また、ルート/ジェイルブレイクが検出された場合は、デバイスから企業データを迅速に削除し、企業ネットワークへのアクセスをブロックする必要があります。これはUEMでも可能です。これらの手順を経て初めて、モバイルデバイスは安全であるとみなされるようになります。

ウイルスを検索して削除する

iOS にはウイルスは存在しないという一般的な考えに反して、これは真実ではありません。 iOS の古いバージョンでは、一般的なエクスプロイトが依然として世に出回っています。デバイスに感染するブラウザの脆弱性の悪用によるものです。同時に、iOS のアーキテクチャにより、このプラットフォーム用のウイルス対策プログラムを開発することは不可能です。主な理由は、アプリケーションがインストールされているアプリケーションのリストにアクセスできず、ファイルにアクセスするときに多くの制限があることです。インストールされている iOS アプリのリストを取得できるのは UEM のみですが、UEM でもファイルにアクセスすることはできません。

Android では状況が異なります。アプリケーションは、デバイスにインストールされているアプリケーションに関する情報を取得できます。ディストリビューション (Apk Extractor やその類似物など) にアクセスすることもできます。 Android アプリケーションには、ファイルにアクセスする機能もあります (Total Commander など)。 Android アプリケーションは逆コンパイルできます。

このような機能を使用すると、次のウイルス対策アルゴリズムは論理的に見えます。

アプリケーションの確認
インストールされているアプリケーションとそのディストリビューションのチェックサム (CS) のリストを取得します。
アプリケーションとその CS を最初にローカルデータベースで確認し、次にグローバルデータベースで確認します。
アプリケーションが不明な場合は、分析と逆コンパイルのためにそのディストリビューションをグローバルデータベースに転送します。

ファイルのチェック、ウイルス署名の検索
ローカルデータベースで CS ファイルを確認し、次にグローバルデータベースで CS ファイルを確認します。
ローカルデータベース、次にグローバルデータベースを使用して、ファイルに安全でないコンテンツ (スクリプト、エクスプロイトなど) がないかチェックします。
マルウェアが検出された場合は、ユーザーに通知し、マルウェアへのユーザーのアクセスをブロックし、情報を UEM に転送します。ウイルス対策ソフトはデバイスからマルウェアを独自に削除できないため、UEM に情報を転送する必要があります。

最大の懸念は、ソフトウェア配布をデバイスから外部サーバーに転送する可能性であることです。これがなければ、ウイルス対策メーカーが主張する「動作分析」を実装することは不可能です。デバイス上では、アプリケーションを別の「サンドボックス」で実行したり、逆コンパイルしたりすることはできません (難読化を使用した場合にそれがどの程度効果的かは、別の複雑な問題です)。一方、企業アプリケーションは、Google Play にないためにウイルス対策が認識していない従業員のモバイルデバイスにインストールされる可能性があります。これらのモバイルアプリには機密データが含まれている可能性があり、これらのアプリがパブリックストアに掲載されなくなる可能性があります。このようなディストリビューションをウイルス対策メーカーに転送することは、セキュリティの観点からは正しくないと思われます。例外に追加するのは理にかなっていますが、そのようなメカニズムの存在についてはまだ知りません。

root 権限を持たないマルウェアは、

1. アプリケーションの上に独自の非表示ウィンドウを描画します または、アカウントパラメータや銀行カードなどのユーザー入力データをコピーするための独自のキーボードを実装します。最近の例は脆弱性です。 CVE-2020-0096これを使用すると、アプリケーションのアクティブな画面を置き換えることができ、それによってユーザーが入力したデータにアクセスできるようになります。これはユーザーにとって、デバイスのバックアップや銀行カードのデータにアクセスできる Google アカウントが盗難される可能性を意味します。組織にとっても、データを失わないことが重要です。データがアプリケーションのプライベートメモリ内にあり、Google バックアップに含まれていない場合、マルウェアはそのデータにアクセスできません。

2. パブリックディレクトリ内のデータにアクセスする – ダウンロード、ドキュメント、ギャラリー。これらのディレクトリにはどのアプリケーションからもアクセスできるため、企業価値の高い情報をこれらのディレクトリに保存することはお勧めできません。また、ユーザー自身も、利用可能なアプリケーションを使用して、いつでも機密文書を共有できます。

3. 広告でユーザーを困らせたり、ビットコインを採掘したり、ボットネットに参加したりするなど。。これは、ユーザーやデバイスのパフォーマンスに悪影響を与える可能性がありますが、企業データに脅威を与えることはありません。

root 権限を持つマルウェアは、あらゆることを実行できる可能性があります。アプリケーションを使用して最新の Android デバイスをハッキングするのはほぼ不可能であるため、これらはまれです。このような脆弱性が最後に発見されたのは 2016 年でした。ナンバーを与えられたセンセーショナルなDirty COWです。 CVE-2016-5195。ここで重要なのは、クライアントが UEM 侵害の兆候を検出した場合、クライアントはデバイスからすべての企業情報を消去するため、企業内でこのようなマルウェアを使用したデータ盗難が成功する可能性は低いということです。

悪意のあるファイルは、モバイルデバイスと、モバイルデバイスがアクセスできる企業システムの両方に損害を与える可能性があります。これらのシナリオをさらに詳しく見てみましょう。

たとえば、モバイルデバイスに写真をダウンロードすると、開いたときや壁紙をインストールしようとしたときに、デバイスが「レンガ」になったり、再起動したりするなど、損傷が発生する可能性があります。これはデバイスまたはユーザーに損害を与える可能性が高くなりますが、データプライバシーには影響しません。例外はありますが。

この脆弱性は最近議論されました CVE-2020-8899。電子メール、インスタントメッセンジャー、または MMS 経由で送信された感染した画像を使用して、Samsung モバイルデバイスのコンソールにアクセスするために使用される可能性があると主張されています。コンソールへのアクセスは、機密情報が存在すべきではないパブリックディレクトリ内のデータにのみアクセスできることを意味しますが、ユーザーの個人データのプライバシーが侵害されており、ユーザーは不安を感じています。ただし、実際には、MMS を使用してデバイスを攻撃することしか可能ではありません。そして、攻撃を成功させるには、75 ～ 450 (!) 個のメッセージを送信する必要があります。残念ながら、ウイルス対策ソフトはメッセージログにアクセスできないため、ここでは役に立ちません。これを防ぐには XNUMX つのオプションしかありません。 OS を更新するか、MMS をブロックします。最初のオプションについては、長い時間待つこともできますが、待たないこともできます。デバイスの製造元は、すべてのデバイスのアップデートをリリースしているわけではありません。この場合、MMS 受信を無効にする方がはるかに簡単です。

モバイルデバイスから転送されたファイルは、企業システムに損害を与える可能性があります。たとえば、モバイルデバイス上に感染ファイルが存在し、デバイスには害を及ぼすことはできませんが、Windows コンピュータには感染する可能性があります。ユーザーはそのようなファイルを電子メールで同僚に送信します。 PC 上でそれを開くと、感染する可能性があります。しかし、少なくとも XNUMX つのウイルス対策製品がこの攻撃ベクトルの邪魔をしています。XNUMX つは電子メールサーバー上にあり、もう XNUMX つは受信者の PC 上にあります。モバイルデバイス上のこのチェーンに XNUMX つ目のウイルス対策ソフトを追加するのは、まったく偏執的に思えます。

ご覧のとおり、企業のデジタル世界における最大の脅威は、root 権限を持たないマルウェアです。モバイルデバイスではどこからアクセスできるのでしょうか?

ほとんどの場合、それらはサイドローディング、adb、またはサードパーティストアを使用してインストールされますが、企業ネットワークにアクセスできるモバイルデバイスではこれらを禁止する必要があります。マルウェアが届くには、Google Play からと UEM からの XNUMX つのオプションがあります。

Google Play で公開する前に、すべてのアプリケーションは必須の検証を受けます。ただし、インストール数が少ないアプリケーションの場合、ほとんどの場合、チェックは人間の介入なしで自動モードでのみ実行されます。したがって、マルウェアが Google Play に侵入することがありますが、それでも頻繁ではありません。データベースがタイムリーに更新されるウイルス対策ソフトウェアは、ウイルス対策データベースの更新速度で依然として遅れている Google Play プロテクトよりも先に、デバイス上のマルウェアを含むアプリケーションを検出できるようになります。

UEM は、モバイルデバイスにあらゆるアプリケーションをインストールできます。マルウェアであるため、アプリケーションを最初にスキャンする必要があります。アプリケーションは、静的および動的分析ツールを使用して開発中にチェックすることも、専用のサンドボックスやウイルス対策ソリューションを使用して配布直前にチェックすることもできます。アプリケーションを UEM にアップロードする前に一度検証することが重要です。したがって、この場合、モバイルデバイス上のウイルス対策は必要ありません。

ネットワーク保護

ウイルス対策メーカーによっては、ネットワーク保護が次の機能を XNUMX つ以上提供している場合があります。

URL フィルタリングは次の目的で使用されます。

リソースカテゴリごとにトラフィックをブロックします。 たとえば、従業員が最も効率的に作業できる昼食前に、ニュースやその他の企業以外のコンテンツの視聴を禁止します。実際には、ブロックは多くの制限付きで機能することがほとんどです。ウイルス対策メーカーは、多くの「ミラー」の存在を考慮して、リソースカテゴリのディレクトリをタイムリーに更新できるとは限りません。さらに、アノニマイザーと Opera VPN もありますが、これらはほとんどの場合ブロックされません。
ターゲットホストのフィッシングやスプーフィングに対する保護。 これを行うには、デバイスがアクセスする URL が最初にウイルス対策データベースと照合されます。リンクとそのリンク先のリソース (複数のリダイレクトの可能性を含む) が、既知のフィッシングサイトのデータベースと照合されます。ドメイン名、証明書、および IP アドレスも、モバイルデバイスと信頼できるサーバーの間で検証されます。クライアントとサーバーが異なるデータを受信する場合、これは MITM (「中間者」) であるか、モバイルデバイスが接続されているネットワーク上の同じウイルス対策またはさまざまな種類のプロキシや Web フィルターを使用してトラフィックをブロックしているかのいずれかです。間に誰かがいると自信を持って言うのは難しい。

モバイルトラフィックにアクセスするために、ウイルス対策プログラムは VPN を構築するか、Accessibility API (障害のある人向けのアプリケーション用の API) の機能を使用します。モバイルデバイス上で複数の VPN を同時に操作することは不可能であるため、独自の VPN を構築するウイルス対策からのネットワーク保護は企業世界には適用できません。ウイルス対策ソフトの VPN は、企業ネットワークへのアクセスに使用される企業 VPN とは連携できません。

ウイルス対策ソフトウェアに Accessibility API へのアクセスを許可すると、別の危険が生じます。アクセシビリティ API へのアクセスは、基本的に、ユーザーが何を表示するか、ユーザーの代わりにアプリケーションを使用してアクションを実行するなど、ユーザーに対してあらゆる操作を実行する権限を意味します。ユーザーがアンチウイルスにそのようなアクセスを明示的に許可する必要があることを考慮すると、ウイルス対策は許可を拒否する可能性が高くなります。あるいは、強制されれば、ウイルス対策機能のない別の携帯電話を自分で購入するでしょう。

ファイアウォール

この一般名には XNUMX つの機能があります。

アプリケーションおよびネットワークの種類 (Wi-Fi、携帯電話会社) ごとに分けられた、ネットワーク使用量に関する統計の収集。ほとんどの Android デバイスメーカーは、この情報を設定アプリで提供しています。モバイルウイルス対策インターフェイスでそれを複製するのは冗長であるように思えます。すべてのデバイスに関する集約情報が興味深い場合があります。これは、UEM システムによって正常に収集および分析されます。
モバイルトラフィックの制限 – 制限を設定し、制限に達すると通知します。ほとんどの Android デバイスユーザーは、これらの機能を設定アプリで利用できます。制限の一元的な設定はウイルス対策ではなく UEM のタスクです。
実はファイアウォール。言い換えると、特定の IP アドレスとポートへのアクセスをブロックします。すべての一般的なリソースでの DDNS と、これらの目的で VPN を有効にする必要性を考慮すると、上で説明したように、メインの VPN と連携して機能することはできないため、この機能は企業の実務には適用できないと思われます。

Wi-Fi委任状チェック

モバイルアンチウイルスは、モバイルデバイスが接続する Wi-Fi ネットワークのセキュリティを評価できます。暗号化の有無と強度がチェックされていると考えられます。同時に、最新のプログラムはすべて暗号化を使用して機密データを送信します。したがって、リンクレベルで脆弱なプログラムがある場合、公衆 Wi-Fi だけでなく、インターネットチャネルを通じてそのプログラムを使用することも危険です。
したがって、暗号化されていない場合も含め、公衆 Wi-Fi は、暗号化されていない他の信頼できないデータ送信チャネルと比べて、危険性や安全性が劣ることはありません。

スパム保護

保護とは、原則として、ユーザーが指定したリストに従って、または保険、ローン、劇場への招待状を際限なくしつこくせがむ既知のスパマーのデータベースに従って、着信をフィルタリングすることになります。自主隔離中は呼びかけていないが、すぐに再開するだろう。フィルタリングの対象となるのは通話のみです。現在の Android デバイス上のメッセージはフィルタリングされません。スパム送信者が定期的に番号を変更することと、テキストチャネル (SMS、インスタントメッセンジャー) を保護することが不可能であることを考慮すると、この機能は実用的な性質というよりもマーケティング的なものです。

盗難防止保護

紛失または盗難された場合に、モバイルデバイスを使用してリモートアクションを実行する。 Apple と Google の Find My iPhone サービスと Find My Device サービスの代替サービス。類似品とは異なり、ウイルス対策メーカーのサービスは、攻撃者がデバイスを工場出荷時の設定にリセットした場合、デバイスをブロックできません。ただし、これがまだ起こっていない場合は、デバイスをリモートで次の操作を行うことができます。

ブロック。リカバリを通じてデバイスを工場出荷時の設定にリセットすることで簡単に実行できるため、単純な窃盗から保護します。
デバイスの座標を調べます。最近デバイスを紛失した場合に役立ちます。
デバイスがサイレントモードの場合に、デバイスを見つけやすくするために、大きなビープ音をオンにします。
デバイスを工場出荷時の設定にリセットします。ユーザーがデバイスを回復不能に紛失したことを認識しているが、デバイスに保存されているデータの開示を望まない場合には、これは理にかなっています。
写真を撮るため。攻撃者が携帯電話を手に持っている場合は、写真を撮ります。最も疑わしい機能は、攻撃者が明るい照明の下で電話機を眺めている可能性が低いことです。しかし、スマートフォンのカメラを静かに制御し、写真を撮ってサーバーに送信できるアプリケーションがデバイス上に存在することは、当然の懸念を引き起こします。

リモートコマンドの実行は、どの UEM システムでも基本です。唯一欠けているのはリモート撮影です。これは、ユーザーに勤務終了後に携帯電話からバッテリーを取り出してファラデーバッグに入れてもらう確実な方法です。

モバイルアンチウイルスの盗難防止機能は Android でのみ利用できます。 iOS の場合、UEM のみがそのようなアクションを実行できます。 iOS デバイス上に存在できる UEM は XNUMX つだけです。これは iOS のアーキテクチャ上の機能です。

所見

ユーザーが電話にマルウェアをインストールできる状況は容認できません。
企業デバイス上で UEM を適切に構成すると、ウイルス対策が不要になります。
オペレーティングシステムのゼロデイ脆弱性が悪用された場合、ウイルス対策は役に立ちません。デバイスが脆弱であることを管理者に示すことしかできません。
ウイルス対策プログラムは、脆弱性が悪用されているかどうかを判断できません。メーカーがセキュリティアップデートをリリースしなくなったデバイスのアップデートもリリースします。長くてもXNUMX年かXNUMX年です。
規制当局やマーケティングの要件を無視した場合、企業のモバイルアンチウイルスは、ユーザーが Google Play にアクセスし、サードパーティソースからプログラムをインストールできる Android デバイスでのみ必要となります。場合によっては、ウイルス対策製品の使用の有効性がプラセボにすぎない場合もあります。

出所： habr.com

モバイルウイルス対策が機能しない