米アップルの「iPad 2」と「iPhone 4S」をジェイルブレーク(Jailbreak:脱獄)する方法が公開された。英ソフォスは、iPadやiPhoneをジェイルブレークするメリットとリスクについてブログで説明した。

 ジェイルブレークは、iPhone/iPadから出荷時に設けられている制約を外し、ユーザーが自在に操作できるよう細工を施すこと。例えばアップルのモバイルアプリケーション配信販売サイト「App Store」以外から、自在にアプリケーションをインストールできるようになる。ジェイルブレーク行為は、米国を含む多くの国で、法的には問題はない。

■ジェイルブレークのメリット
・デバイスのファイルシステム全体を調べ、各要素がどのように組み合わさりながら機能しているのか、セキュリティ手法などを深く理解することができる
・自分で選んだファイルをデバイスから、あるいはデバイスに、アップルの「iTunes」ライセンスに合意することなく無制限でコピーできる
・App Storeだけでなく、他のソースから入手したソフトウエアも稼働させることができ、その多くは無償で手に入れられる
・sshd(リモートログイン)やVNC(画面共有)など、アップル未承認の有用なネットワークサービスを実装できる
・技術に精通していれば、さらに多くの機能を楽しみ、デバイスについてさらに詳しく知ることができる

■ジェイルブレークのリスク
・悪質なハッカーがより簡単に、電源が入っているデバイスに侵入できるようになる(アップルはすべてのiPhoneおよびiPadについて、rootとmobileの両アカウントに「alpine」を設定して出荷するので、ジェイルブレークした場合はこれらを変更したほうが良い)
・ソフトウエアをインストールすることでデバイスが使えなくなる可能性がある。こうなると、アップルの修理保障が一部あるいはすべて適用されない場合がある
・誤って不正なソフトウエアや試験段階のソフトウエア、あるいは単純に不安定なソフトウエアを使用する可能性が高くなる

 ジェイルブレークを批判する意見では、これまでユーザー環境で見つかっているiPhone向けマルウエアがジェイルブレーク済み端末を狙ったものしかないことを指摘している。しかし、ジェイルブレークは一つの権利であり、認められるべきだとソフォスは考えている。「iOS 5.0.1」を搭載するiPhone 4SとiPad 2がジェイルブレーク可能になった今、後はもちろんユーザー自身の責任で実行すればよい。

米国家安全保障局のセキュリティ強化版Android

 スロバキアのイーセットは同社のブログで、米国家安全保障局(NSA)が取り組んでいるAndroidのセキュリティ強化(SE)版について解説している。SE AndroidはNSAと米レッドハットが共同開発した「SE Linux」を基にしたもので、個々のファイルに対してロールベースの詳細なセキュリティ設定が可能だという。そのため、一つのアプリケーションがサンドボックスから抜け出そうとしても、システムの中核機能への影響を最小限にとどめられる。

 一部のユーザーは、さまざまなベンダーが提供しているAndroid向け商用セキュリティスイートをインストールしているが、基礎をなすOSのセキュリティを拡充したい人々にとっては、SE Androidは注目すべきものになるだろう。

 Androidはオープンソースであり、ソースコードはAndroid Open Source Project(AOSP)で公開されている。これをSE Androidのコードと統合し、完全なSE Androidオペレーティングシステムを形成する。

 SE Linuxが至るところで利用されているとはいえ、AndroidのSE版がベンダーと個人ユーザーに広く受け入れられるかどうかはまだ分からない。しかしモバイルプラットフォームに関してより多くのセキュリティの選択肢が用意されることは、好ましい方向に進んでいると言える。また、通常セキュリティ強化されたプラットフォームが使用される企業環境向けのAndroidの計画もいくつか伝えられているという。

偽プラグインをダウンロードさせるFacebook詐欺

 「Facebook」を利用した詐欺はいまや珍しくはないが、ときにはセキュリティ研究者が注目するような興味深い手口が登場する。米シマンテックはその一例として、ユーザーをだまして偽のブラウザープラグインをダウンロードさせようとする手口を挙げ、ブログで注意を促した。

 この手口ではビデオを視聴するようユーザーを誘うが、多くの詐欺のようにFacebook内でビデオを共有させたり、「いいね」をクリックさせたりするのではなく、ビデオを見るために必要だとして偽のプラグインダウンロード画面を表示する。

偽プラグインのダウンロードを要求する画面の例

 偽の画面はiframeを通じて別のサイトからロードされたものにほかならない。偽コンテンツをロードするiframeはこのように記述されている。

iframeタグの例

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら