AndroidおよびiPhoneユーザーを標的とした新しい中間者攻撃「DoubleDirect Attack」

Table Of Contents

• AndroidおよびiPhoneユーザーを標的とした新しい中間者攻撃「DoubleDirect Attack」
• DoubleDirect
• DoubleDirectはどのように機能するのか
• 誰が危険にさらされているのか？

AndroidおよびiPhoneユーザーを標的とした新しい中間者攻撃「DoubleDirect Attack」

Zimperium Mobile Security Labsの研究者たちは、サイバー犯罪者がAndroidおよびiPhoneスマートフォンユーザーを標的とした新しい中間者攻撃の手法を使用していることを発見しました。この新しい攻撃は「DoubleDirect Attack」と名付けられました。

DoubleDirect

いわゆるDoubleDirect手法は、攻撃者が被害者のトラフィックを攻撃者のデバイスにリダイレクトすることを可能にします。リダイレクトされると、攻撃者は認証情報を盗み、被害者のモバイルデバイスに悪意のあるペイロードを配信することができ、デバイスを迅速に感染させるだけでなく、企業ネットワーク全体に広がる可能性があります」とモバイルセキュリティ企業Zimperiumは述べています。

Zimperiumは、DoubleDirect手法がGoogle、Facebook、Twitter、Hotmail、Live.com、Naver.com（韓国）などの主要ウェブサイトの顧客に対して使用されたことを検出しました。Zimperiumによれば、この攻撃手法は世界の少なくとも31か国で広く悪用されており、具体的には、セルビア、オーストラリア、イラク、カザフスタン、ポーランド、インドネシア、イスラエル、ラトビア、フィンランド、メキシコ、エジプト、イギリス、オーストリア、コロンビア、ギリシャ、ブラジル、カナダ、フランス、アルジェリア、ロシア連邦、スイス、イタリア、ドイツ、スペイン、サウジアラビア、オランダ、インド、マルタ、バーレーン、アメリカ合衆国、中国です。

Zimperiumの研究者たちは、DoubleDirect攻撃を使用するサイバー犯罪者の主な動機は、被害者の機密情報、メールアドレス、認証情報、銀行情報および認証情報、その他のパスワードを取得することだと述べています。

DoubleDirectはどのように機能するのか

DoubleDirect手法を使用する攻撃者は、ICMPリダイレクトパケット（タイプ5）を使用してホストのルーティングテーブルを変更します。この手法は、特定の宛先に対してより良いルートが利用可能であることをネットワーク上のホストに通知するためにルーターによって正当に使用されます。しかし、DoubleDirect攻撃の場合、攻撃者はICMPリダイレクトパケットを使用して被害者ホストのルーティングテーブルを変更し、特定のIPのためにトラフィックが任意のネットワークパスを通るようにします。その結果、攻撃者はMITM攻撃を開始し、被害者のトラフィックを自分のデバイスにリダイレクトすることができます。一度リダイレクトされると、攻撃者は追加のクライアントサイドの脆弱性（例：ブラウザの脆弱性）を使用してモバイルデバイスを侵害し、その結果、攻撃者に企業ネットワークへのアクセスを提供します。

Zimperiumの研究者たちは、DoubleDirect攻撃の場合、ハッカーがICMPリダイレクトを使用してフルデュプレックスMITMを達成するために以前は知られていなかった実装を使用していることを発見しました。従来のICMPリダイレクト攻撃には制限があり、半二重MITMとして知られています。

Zimperium Mobile Security Labsは脅威を調査し、攻撃者が被害者がアクセスしているIPを予測できることを確認しました。Zimperiumは、DoubleDirect Attackの完全な概念実証をアップロードしており、ここからダウンロードできます。

誰が危険にさらされているのか？

iOS: Zimperiumの研究者は、DoubleDirect攻撃がiOS 8.1.1を含む最新のiOSバージョンで機能することに注意しており、すべてのiPhoneがこの攻撃に対して脆弱です。

Android: Zimperiumの研究者は、DoubleDirect攻撃が最新のAndroid OS 5.0ロリポップを搭載したNexus 5を含むほとんどのAndroidデバイスで機能することを述べています。

Mac OS X Yosemite: Zimperiumの研究者は、Mac OS X Yosemiteユーザーも潜在的に脆弱である可能性があると述べていますが、WindowsおよびLinuxユーザーは、両方のOSがデフォルトで悪意のあるトラフィックを含むICMPリダイレクトパケットを受け入れないため、免疫があるようです。

GoogleやAppleは、Zimperiumの研究者の発見について公式にコメントしていません。