ゼロデイ攻撃と OS パッチ配布の間に存在するリスクを最小限に抑える

原文のブログはこちらからご覧いただけます。

去る 9 月、トロント大学の Citizen Lab が、Apple®︎ デバイスに対する新たな「ゼロクリック、ゼロデイ」サイバー攻撃を発見したことを発表しました。その際のこの攻撃への対処では、よく知られた手順が展開されました。

まず世界中のメディアが、この攻撃が Apple デバイスにスパイウェア「Pegasus」をインストールすることを目的としたエクスプロイトであるとして一斉に警告を報じました。つづいてApple が、Mac、iPad、iPhone、Apple Watch 向けに、Citizen Lab が発見した脆弱性とともに、Apple が新たに発見した第二の脆弱性を修正する緊急パッチを配信しました。さらに第三の脆弱性も発見され、パッチが配信されています。現在、世界中の組織では、役員や社員がデバイスを更新し、セキュリティ上のギャップを制限することが待たれています。

これはどこかで聞いたことがあるような話か、実際にご自身が体験された話であるかもしれません。社内外の各部署がいち早く効率的に対処する最善のシナリオであっても、デバイスが脆弱な状態に置かれる期間は存在します。

OS ベンダー頼りのセキュリティ

今回は Apple が攻撃対象でしたが、次の標的は Android^TM かもしれません。広く使用されているこれらのモバイル OS にもゼロデイ脆弱性が存在することを想定すべきです。セキュリティをモバイル OS ベンダーのみに依存することは、悪用されやすい重大なギャップが放置されることを意味します。ここで、2022 年に見られた最近の共通脆弱性識別子（CVE）の件数をモバイル OS ごとに確認してみます（出典：VulnDB）。

iOS：CVE 271 件のうち、68 件で悪用が判明
Android: CVE 1,022 件のうち、49 件で悪用が判明

ネットワークに接続したモバイルデバイスで、このような脆弱性に対するパッチが適用されていなかった期間はどれほどの長さだったでしょうか。

こうした数字と、このような数字に起因する環境の不確実性がある一方で、このセキュリティギャップを埋める方法さえ知っていれば、モバイルセキュリティの状況はけっして絶望的ではありません。たとえば、BlackBerry^® UEM のお客様なら、BYOD（個人所有デバイスの持ち込み）環境であっても、特許取得済みの楕円曲線暗号で企業データが保護されていることをご存じです。BlackBerry^® UEM（統合エンドポイント管理）によってプロビジョニングされた BlackBerry Dynamics^™ を使用すれば、OS ベンダーのパッチに依存することによるリスクを最小化しつつ、ゼロデイ攻撃に直面した場合にもセキュアな状態を維持できます。

BlackBerry が Gartner^® Peer^™ Insights 2023 で統合エンドポイント管理ツール部門の「Customers' Choice」に選出された理由の一端はこの点にあると思われます。

モバイルセキュリティに見る BlackBerry のイノベーション

およそ 40 年にわたる BlackBerry の歴史の中で、当社はモバイルセキュリティに関する書籍を出版しています。当社はこの分野においてイノベーションを続け、現在、世界で最も高い評価を得ているモバイルセキュリティプラットフォーム「BlackBerry UEM」を提供しています。このプラットフォームは政府機関、銀行、法律事務所をはじめ、世界中のきわめてセキュリティ意識が高い組織で使用されています。このような組織では、「モバイルセキュリティの脅威は重要な問題であり、それらの脅威に対する防御能力も当然重要である」ことが共通認識となっています。

BlackBerry による最近の調査では、モバイルマルウェアは増加傾向にあります。BlackBerryの四半期版グローバル脅威インテリジェンスレポートでは、例えば金融サービスが、スマートフォンを重点的に狙うコモディティマルウェア、ランサムウェア攻撃、モバイルバンキングマルウェアの台頭により持続的な脅威に直面していることが明らかにされています。また、広く普及しているモバイル OS 製品を標的とした最新の脅威が蔓延している状況を考えると、モバイルアプリやモバイルデータを保護する BlackBerry の機能を正しく再検討する良い機会であるといえます。

モバイルデバイス上でのデータの分離

自社の IT 環境で社員がモバイルデバイスを使用して業務を遂行しているとします。モバイル OS のセキュリティのみに頼っていて、そのモバイルデバイスが侵害されると、自社の企業データはもちろんのこと、顧客の機密データまで危険にさらされます。

また、デバイス上での 2FA（2 要素認証）がセキュリティプランとされているケースが多く見られますが、この方法にも既知の脆弱性が存在します。これらをはじめとする理由から、BlackBerry では異なる手法を採用しています。当社では、企業アプリケーションを保護する BlackBerry UEM のセキュアなエンクレーブを除くすべてを、安全ではなく、潜在的な脅威と捉えています。

たとえば、BlackBerry Dynamics を導入していれば、社員が誤って携帯電話にマルウェアをインストールした場合でも、その侵害されたデバイスに保存されている企業データを保護できます。承認済みのアプリとその関連データが「コンテナ化」され、デバイスに対して実行される可能性がある敵対的なアクションから分離されるからです。また、BlackBerry は一般的なデータ抜き取りの手口に対して積極的な未然防御に取り組んでおり、特許取得済みの AI サイバーセキュリティによって支えられたMTD（モバイル脅威対策）も用意しています。

BlackBerry と他のサイバーセキュリティ製品とのもう一つの大きな違いとして、モバイルプラットフォームでの暗号化方法が挙げられます。BlackBerry では、「暗号化の暗号化」を実現しています。その動作は次のようなものです。BlackBerry Dynamics に置かれた各アプリがそれぞれ一意の暗号化キーを持ち、アプリがフォアグラウンドで実行されているときにのみ、その暗号化キーがメモリに保持されています。アプリを終了したときや最小化したときは、その暗号化キーが削除されるだけでなく破棄されるので、悪意のある人物に悪用されるリスクを最小限に抑えることができます。この水準のセキュリティは一般的ではありませんが、侵害が発生した場合は、他の製品にはない大きな効果が得られます。

さらに、BlackBerry では暗号化キー自体が暗号化されます。つまり、脅威アクターがそのキーを入手してデバイス上の企業アプリを侵害しようとしても、2 番目の暗号化キーも持っていない限り、そのアプリにはアクセスできません。したがって、モバイルデバイスのバックグラウンドでマルウェアが実行されていても、データやアプリは保護された状態を維持します。

また、BlackBerry Dynamics はセキュアなエンクレーブ全体を暗号化します。つまり、特定のデータベースに必要なキーを持っていたとしても、それを復号するための暗号化キーがなければ、そのデータベースにはアクセスできません。これは BlackBerry 独自の機能です。

ここまでの説明は、BlackBerry UEM がきわめてセキュアなモバイルデバイスプラットフォームであり、業界で最も強固なセキュリティを認められた UEM であることを示す一端にすぎません。またお客様は、当社のアプリケーションストアにもフルアクセスできます。ここには、社員の生産性向上に向けた 125 種類以上の信頼できるアプリが大手のベンダーから提供されています。当社では、このストアに提供される各アプリを、Veracode の検証、侵入テスト、API（アプリケーションプログラミングインターフェイス）の審査などを通じて詳しく解析しています。

このようなすべての解析には、業界で当社が積み上げてきた経験と実績が反映されています。BlackBerry はモバイルデバイスセキュリティの先駆者であり、当社の革新的な手法は、当社が先駆者であり続けていることを証明しています。