2017 年 6 月、ランサムウェア作成の容疑で日本の未成年者が逮捕された事例が注目を集め、本ブログでも解説しました。本記事では、同未成年者が作成および拡散したとされる別のマルウェア「iXintpwn(アイシントポウン)(別名:YJSNPI(ヤジュウセンパイ)ウイルス)」(「TROJ_YJSNPI.A」として検出)について解説します。先に iXintpwn を「マルウェア」と呼びましたが、その実体はアプリではなく、不正な構成プロファイルです。「構成プロファイル」とは、iOS の各種設定を自動的に行うための仕組みです。iXintpwn はこの仕組みを悪用し、iOS 端末のホーム画面に大量のアイコンを作成すると同時に、アイコンの削除を不可に設定します。場合によっては端末が応答不能の状態になることもあります。
図 1:削除不可に設定されたアイコン(左)
ホーム画面に作成されるアイコン(右)
iOS アプリケーションは、Apple による厳格な審査を経た上で正規アプリストアのみで配布されています。そのため、一般的には、iOS は比較的脅威の少ないプラットフォームだと考えられています。しかし、iXintpwn の事例のように、完全に侵入不可能というわけではありません。2016 年のモバイル脅威事情を振り返ると、企業向け証明書を悪用する脅威から、Apple の厳重なプラットフォーム管理をすり抜けるものまで、過去にも多く脅威が確認されています。iXintpwn 自体は未成年者による悪ふざけや自己顕示目的の産物に過ぎなかったとしても、未署名の構成プロファイルを悪用した手法は注目に値します。
iXintpwn をダウンロードさせようとする投稿は、2016 年 11 月末に Twitter で初めて確認され、続いて YouTube やその他のソーシャルメディアでも拡散されました。投稿では、iXintpwn は、iOS 端末の制限を解除する「Jailbreak(脱獄)アプリ」だと説明されています。感染端末のホーム画面を埋める大量のアイコン画像は、日本のオンライン掲示板などで「YJSNPI」として知られる人物のようです。今のところ、iXintpwn の拡散は日本に集中しているようですが、この不正な構成プロファイルがソーシャルメディア経由で拡散したことを考慮すると、日本以外の国で確認されたとしても不思議ではありません。
iXintpwn は、特に Safari 経由で、ソーシャルメディアなどに投稿された URL にアクセスさせることによって拡散します。この URL は不正な構成プロファイルをホストする Web サイトです。Web ページ内のダウンロードボタンをクリックすると、Web サイトに含まれた JavaScript が「バイナリ・ラージ・オブジェクト(BLOB)」を生成し、返信します。この BLOB が不正な構成プロファイルです。比較的新しいバージョンの Safari は、図 3 のようなサーバからの応答を受信し、プロファイルをダウンロードします。
図 2:BLOB として iXintpwn を生成
図 3:Safari に iXintpwn をダウンロードさせるサーバの応答
■iOS の構成プロファイルの悪用
iOS の構成プロファイルは、構成情報を配信するために利用されるファイルです。構成プロファイルを利用すると、端末の機能制限、Wi-Fi、VPN、電子メールサーバ、Exchange、LADP ディレクトリサービス、CalDAV カレンダーサービス、Web クリップ(Web サイトへのショートカット)、資格情報とその鍵、などの設定を、多数の端末に対して一括で行うことが可能です。企業では、端末および自社開発アプリの管理を効率化するために利用されます。
上述のような機能を持つことから、不正な構成プロファイルを利用して攻撃者がトラフィックを意図的に転送することなどが可能です。例として、情報窃取を目的とした不正アプリ「WireLurker」や iOS 向けサードパーティアプリストア「Haima」で配布されたリパックアプリなどが確認されています。
iXintpwn は、未署名のプロファイルを利用します。また、図 1 のように削除不可に設定されているためアンインストールが困難です。何度でもインストールできるように、JavaScript で無作為な文字列を生成し、プロファイルごとに一意な「PayloadIdentifier」の値として使用します。iOS は、署名の有無に関わらずプロファイルのインストール時にはユーザの操作を要求することにも留意してください。両者の違いは、署名済みプロファイルには「検証済み」、未署名のプロファイルには「未署名」と表示されるという点のみです。
図 4:iXintpwn は未署名のプロファイルを利用
図 5:生成された PayloadIdentifier の値(上と中)
作成された iXintpwn のプロファイル(下)
■ホーム画面に大量に作成されるアイコン
iXintpwn をインストールすると、YJSNPI 画像のアイコンがホーム画面に大量に作成されます。このアイコンをクリックすると、同じ画像を表示するだけの Web サイトが開きます。大量のアイコンが作成されている間、場合によっては端末が応答不能な状態になり、アプリの表示および起動の制御とホーム画面の管理を行うアプリケーション「SpringBoard」が異常終了します。
図 6:ホーム画面に重なった YJSNPI のアイコン(左)
YJSNPI 画像のアイコンが作成された iPad のホーム画面(右)
■被害に遭わないためには
幸いなことに、YJSNPI 画像のアイコンは、削除不可に設定されているにも関わらず削除可能です。感染したユーザは、Mac PC で Apple 公式 iOS 構成管理アプリケーション「Apple Configurator 2」を起動し、「アクション(Actions)」メニューから不正なプロファイルを削除することが可能です。
ただし、この方法で削除するためには、iXintpwn が完全にインストールされている必要があります。途中で電源を落とすなどしてインストールが不完全となった場合、当該プロファイルが Apple Configurator 2 に認識されず、したがってアイコン画像の削除もできません。また、Apple Configurator 2 に Windows 版はありません。Mac PC を所持していないなど Apple Configurator 2 を使用できない場合、復旧のためには iOS 端末をリストアすることになります。
iXintpwn のようなマルウェアの被害に遭わないためには、特に iOS 端末を BYOD 環境で利用する場合、モバイル端末のセキュリティに関するベストプラクティスに従ってください。また、定期的に iOS およびアプリを更新し、App Store または信頼できる配布元からのみアプリをダウンロードしてください。脱獄のリスクを理解し、未知あるいは不審なアプリやプロファイルに対して許可する権限に注意を払うことも重要です。アプリ開発者は、マルウェアの拡散に悪用されないようにセキュリティ的に安全なモバイルアプリを開発してください。
■トレンドマイクロの対策
トレンドマイクロは、多層的なモバイル環境の総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」を提供しています。法人利用者向けの「Trend Micro Mobile Security」は、モバイルデバイス、アプリケーション、データの可視化と制御を標準装備の単一コンソールで実現するとともに、脆弱性攻撃や不正アクセスから端末を保護し、マルウェアや不正なWebサイトをブロックします。
※調査協力:日本リージョナルトレンドラボ(RTL)
参考記事:
- 「iXintpwn/YJSNPI Abuses iOS’s Config Profile, can Crash Devices」
by Ju Zhu and Moony Li
翻訳:澤山 高士(Core Technology Marketing, TrendLabs)
