今回発生したiOSのマルウェアXcodeGhostは、事実上すべてのiOS端末が攻撃の対象であり、審査の厳しいアプリストアでも悪意あるアプリを公開する恐れがあることが明らかになりました。 Lookout Mobile Threat Protection（Lookout法人向け製品、日本は近日発売予定）をご利用いただいているお客さまは、このマルウェア対策が既に行われており、操作は何も必要ありません。本記事では個人向けのモバイルセキュリティソリューションをご利用のお客さまに詳しい対策方法をご案内します。 XcodeGhostはAppleのXcodeを改ざんした悪意あるコードで、 iOSアプリに挿入されることによりiOS端末からデータを抜き取ります。この悪意あるコードは、AppleのApp Storeで公開されている多くのアプリケーションに開発者が気付かないうちに密かに潜り込んでいました。今回のケースはこれまでにApp Storeで発生した中での最大級の攻撃となりました。 このマルウェアに気付いたのは中国のiOS開発者で、パロアルトネットワークスが詳細研究を引き継いでいます。この悪質コードによる被害は何億人にもおよび、よく知られたアプリにまで混入する事態となりました。世界的に人気のあるメッセージングアプリWeChatはその一例で、アクティブユーザー6億人以上を抱え、うちアメリカ合衆国外のユーザーは1億人にのぼります。同じく被害を受けたCamCardは中国製の名刺リーダーで、こちらも世界的に人気を得ています。 今回の件は法人、個人の区別なくiOSプラットフォームを利用するユーザーに明確なメッセージを伝えています－モバイル端末からアクセス可能なデータ量が増えており、それを狙った攻撃アプローチが巧妙化しつつあることです。 App Storeにマルウェアが混入した経緯 XcodeGhostはコンパイラにマルウェアが混入した事例です。XcodeGhostの作製者は悪意あるアプリを作製後にApp Storeで承認させる手法は採らず、Xcode と呼ばれるAppleのiOS/OSX純正開発ツールを標的にして悪意あるコードを正規アプリに拡散させました。 XcodeGhostの作製者はXcodeインストーラに悪意あるコードを混入して再パッケージ化し、iOS/OS開発者がよく利用する各フォーラムにインストーラへのリンクを公開しています。AppleのMac App Storeが公開している公式Xcodeより、中国の改ざん版Xcodeの方がダウンロードするための時間が短くてすむため、開発者は好んで改ざん版をダウンロードしていました。 開発者は安全なApple用開発ツールと思いインストールしたにも関わらず、実は本来のアプリコードと共に悪意あるコードをコンパイルしてしまう改ざん版であり、開発者はこうしたアプリにコードが混入したものとは知らずに、App Storeに送信してiOS端末への配布が開始されました。 XcodeGhostマルウェアの概要 パロアルトネットワークスによれば、この悪意あるコードが仕込まれたアプリを被害者の端末にインストールおよび起動すると、次のような端末に関する情報を盗むようにコード設計されています。

• 感染アプリの名称
• アプリのBundle ID
• 端末の名称と機種
• ネットワーク情報
• 端末の「identifierForVendor」

コードはその後、データを暗号化しコマンド&コントロール(C&C)サーバーに返します。 Lookoutでは報告事例を独自に確認中ですが、悪意あるコードがC&Cからのコマンドを受信すると指定されたURLを開いて被害者の端末画面にダイアログプロンプトを送信する可能性があり、被害者のApple IDの認証情報などのデータフィッシングを試みると思われます。 今回の事例から得た教訓 システムに完璧はありません。これまでAppleはApp Store にマルウェアを混入させないよう優れた功績を残してきましたが、悪意あるアクターはこれを打破する新しい方法を常に模索しています。Apple のiOS製品は従来からマーケットシェアのトップに立っており、個人にも、また攻撃の対象となりやすい法人にも利用者が多いことを見れば、Appleはまさにその条件に当てはまります。 残念ですがXcodeGhostは「意志あるところに道あり」を証明しました。悪者は常に儲け話の生まれる場所へ関心を向けています。iOSは多くの利用者を抱え、またセキュリティの評価も高いだけに標的となると考えて間違いありません。 今後の対策 リスクが高く悪意あるアプリが自社ネットワーク上で実行されている場合、企業はそうしたアプリの性質を把握し、新たな脅威をプラットフォームが何であっても検出して迅速にリスク軽減できるよう備える必要があります。今回のマルウェアには有効ではありませんが、手始めとして経営側または従業員がApp StoreやGoogle Playなどの公式アプリマーケットからのみダウンロードするよう注意すると良いでしょう。こうした公式アプリストアは他ストアよりも厳格なアプリ検査を行い、サードパーティーアプリストアが通常備えていない基準を掲げています。しかしどんなストアも万全を期すことはできないため、システムに幾重もの防御線を張る必要が現実化しています。 Lookoutの個人用アプリをご利用のお客様は、以下から対策の詳細および影響を受けるアプリ一覧をご覧いただけます。法人のお客様は、このブログを参考資料として従業員向けの注意喚起にご利用くだい。このような脅威によるフィッシング行為があったと思われる場合は、お使いのApple アカウントのパスワードを、またそのパスワードを使用している他のアカウントも同様に、直ちに変更するよう推奨します。