　研究者は、標的デバイスのコンソールログから「#N User airplane mode preference changing from kFalse to KTrue」という文字列（エンドユーザーが機内モードをオンにしたことを表す）を見つけ、この文字列を参照するプログラムのソースコードを突き止めた。ここから機内モードを操作するためのソースコードを発見し、関数を書き換えることで、「偽機内モード」を作り出すことができた。これは「内部的には機内モードがオンになっているが、実際にはデバイスがインターネットに接続している」状態を作り出したということだ。

　次に研究者はUIの偽装に着手するため、数行のソースコードを挿入した。これにより、「モバイル通信」のアイコンの色を暗くしてオフラインに見せかけ、機内モードのアイコン（飛行機のアイコン）の色を明るくすることができた。

　機内モードがオンになっているときにWebブラウザ「Safari」を開くと、通常は「Webサイトを閲覧するには機内モードをオフにするか、無線LANを使う必要がある」といった旨のメッセージが表示される。一方で研究者の実験においては、デバイスはオンライン状態のままであるため、無線LANかモバイルネットワーク、または無線LANのみを使ってSafariを使用可能にするかどうかを尋ねるメッセージが表示された。

　攻撃を実行するには、この表示問題に対処すべきだとJamf Threat Labsは考えた。そのため同チームは、モバイルデータ通信にはつながっていないとエンドユーザーに感じさせる方法を編み出そうとした。CommCenterを悪用し、特定のアプリケーションがモバイルデータ通信を利用できないようにすることに加え、機内モードを不正に呼び出して偽装する手順を踏んだ。こうすることで、実際に表示されるはずのメッセージではなく、機内モードをオフにするよう求めるメッセージが表示される状況を作り出した。

　内部では機内モードをオンにしないまま、Safariのインターネット接続を切断するためにJamf Threat Labsが使用したのがSpringBoardだ。iOSでは、カーネル（OSの中核ソフトウェア）が機内モードをオフにする要求をCommCenterに送る。その後CommCenterは、SpringBoardにその要求を通知する。通知を受け取ったSpringBoardは、機内モードをオフにすることを求めるメッセージを画面に表示するという流れだ。

　Jamf Threat Labsが発見したのは、CommCenterがアプリケーションのモバイルデータ通信利用状態を記録するデータベースファイルを管理していることだった。モバイルデータ通信に接続できないアプリケーションは、CommCenterが特定のフラグを割り当てていることも判明した。同チームはこれらの仕組みとデータを利用して、アプリケーション単位で無線LANやモバイルデータ通信への接続許可またはブロックを設定することに成功した。

　Jamf Threat Labsで戦略担当バイスプレジデントを務めるマイケル・コビントン氏によると、チームはこれらを取りまとめ、偽の機内モードが本物と同様に動作しているとエンドユーザーに思い込ませる攻撃手法を完成させた。

　「この攻撃手法は、デバイスをエンドユーザーの直感とは逆の状態にすることで、攻撃者の行動を隠蔽（いんぺい）する」とコビントン氏は指摘する。これにより攻撃者は、エンドユーザーに録画ないし録音中であることを疑われずに、エンドユーザーやモバイルデバイスの状態をインターネット経由で監視可能になる。攻撃者が他のエクスプロイト（脆弱性悪用プログラム）群を通じてモバイルデバイスの制御を握った後に、今回見つかった手法を用いてインターネット接続を維持できるようにする流れも考えられる。

　コビントン氏の見立てでは、この攻撃手法は脆弱（ぜいじゃく）性に起因するものではない。そのため「Appleへの開示義務はない」と同氏は話す一方で、Jamf Threat Labsは今回の調査結果を同社に報告した。原稿執筆時点で、コビントン氏は同社からのコメントは受け取っていないという。

　次回は、攻撃者が偽の機内モードをどう悪用する可能性があるのかを考える。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

TechTargetジャパントップセキュリティ