半径300メートルのIT：iPhoneが安全とは限らない？　マルウェア「iXintpwn」の思わぬ手口 (1/2)

安全といわれるiPhoneに思わぬ手口のマルウェアが登場。回避方法は？

　トレンドマイクロが興味深いブログ記事を公開しています。2017年6月にランサムウェアを作成した未成年が逮捕された事例がありましたが、その未成年者が作成、拡散したiOS向けのマルウェア「iXintpwn」を解説した記事です。

　「iOSでマルウェアが存在するのか？」と思う人もいれば、「iOSにだって脅威は存在する」と思う人もいるでしょう。確かにiOSでも、脆弱性を突いて「脱獄」と呼ばれる方法で管理者権限を奪った後に、不正なアプリをインストールする手法や、アプリ内に望まない機能を埋め込むような手法で、不正な行動をさせることは可能です。

　しかし、iOS端末ユーザーが小まめにOSをアップデートして脆弱性をふさいだり、アプリストアが問題のあるアプリの配信を止めたりすることで、多くの脅威は防げます。ただ、今回の「iXintpwn」は、思った以上に簡単に、あなたのiOS端末を使用不能にできてしまうことが分かったのです。

iXintpwnの侵入手口は？

　このiXintpwnが行ったのは、不正なアプリをアプリストアに忍び込ませることでも、脆弱性を利用した高度な攻撃でもありません。iOSの仕組みである「構成プロファイル」を使った攻撃だったのです。

　構成プロファイルは、企業が業務で使うiOS端末を統合的に管理する目的でインストールする小さなファイルで、各種設定を自動で行うためのものです。この構成プロファイルを使えば、例えば一定ルールのパスコードを強制したり、企業が用意しているWebサイトのアイコンを追加したりと、さまざまな設定を行えます。iXintpwnはこれを悪用し、iOSのホーム画面に大量のアイコンを作成するというものでした。

左は構成プロファイルの概要、右はiOS画面を埋め尽くす、勝手に作成されたアイコン群（トレンドマイクロ セキュリティブログより引用）

　アップルのアプリは、「App Store」でアプリの審査を行った後、ベンダーや開発者に配布が許可されるため、マルウェアのような脅威が比較的少ないことで知られています（もちろん、AndroidのGoogle Playでも不正なアプリを見つけ次第取り下げています）。しかし、今回のような構成プロファイルを悪用した手口はアプリストアを経由しないため、SNS上でURLをクリックし、インストールが成立してしまうと、今回のように大量にアイコンが作成されてしまいます。