AppStoreで見つかったマルウェア感染アプリの脅威は、手練の仕業!?

これの第一報は9月16日~17日に掛けての話だったが、被害が最初から凄いものだった。
ついにAppStoreもやられたと思うか、それともこれは中国の問題と思うかは人それぞれだろうが、少なくとも攻撃手法は巧妙で、今後もこの攻撃は使われる可能性が高い。何より、XcodeGhostの侵食が発覚したアプリは、今回きわめて多い。

各社で調査が出ているようだが、感染アプリは中国に多く、感染した場合に情報を搾取される恐れがあるものは世界中にあるようだ。その数は数百に及ぶ。一部地域の提供に留まるものもあるようだが、今のところ39程度がAppStoreから除去されたとされる。実際には最初の段階でもっと多いようだが・・・。数字は1日前の段階で300を越えており、下手をすれば今はもっと多いかもしれない。

<XcodeGhostとは何か?>

これは、コンパイラ(人が記述するソースコードを機械語に変換する機能)を介して、不正な機能を付加することで、不正プログラムとなる仕組みをつかった攻撃である。
このマルウェアは、Appleが供給するXcodeと呼ばれる開発ソフトの偽物(Ghost)が発端である。中国に限った話ではないが、容量がDVD1枚分に近い3GBもあるXcodeは、日本のようにブロードバンド環境が発展していれば、Appleのサイトから直接ダウンロードするだろうが、そうは行かない市場が多い。

そこに目を付けたのが、攻撃者と思われる。不正なファイルをいくつか取り込んだXcodeを供給し、それで作られたソフトウェアが全て感染するという事態に至ったらしい。即ち、コンパイラ侵入型の組み込みウィルスになる。

これは、かなりの技術者集団が関わっているのは間違いない。Xcodeのインストーラーをリバースエンジニアリングして、その中にこれで作成したアプリは不正コンポーネントを必ず組み込むようにしているのだ。

そのコンポーネントは、MacOS Xの基幹であるMach-O ダイナミックライブラリを通じてCore Serviceに対して直接的に機能するようだ。そのため、AppStoreの審査を透過してしまったのだ。要は、審査でチェックする項目より深い場所で動作する(本来なら触ることもない)コンポーネントに、不正な機能を付加したことで、審査では見つからない状況になったと思われる。

これによって、時間、感染アプリの種別、言語情報、UUID、ネットワークタイプなどを暗号化した上で指定したサーバーに送るという機能が搭載された。さらに、外部サーバーに送った情報を元に、外部から偽のダイアログの表示、クリップボードのデータ取得、URLハイジャック、パスワード管理ツールからコピーされたパスワードの取得が設定次第で可能となるようだ。


感染すれば、情報が筒抜けになる可能性もあるのだ。日本市場はまだ直接的には狙われていないから良いが、今後そのリスクは著しく上がるだろう。

尚、既に同系統の亜種が見つかったという情報も出回っている。


<とにかく今は、開発者にその覚えがあるなら、利用を中止させるのが一番>

開発者は、Appleが供給するXcodeを使うようにAppleは呼びかけている。そして、多くのセキュリティベンダーも同様に呼びかけており、それしか喫緊で出来る対処はない。何せ、XcodeGhostの実装仕様を変更されれば、再び闇に隠れる恐れもあるコンパイラ型のマルウェアであるため、開発者が二次ソースでインストールするのを止めるしか、汚染拡大を納める手立てはないのだ。

後は、ウィルス対策ソフトメーカーに今回の情報がどれだけ流れるかだろうが、調べた限り海外ソースは、コードやハッシュ、追加される不正ファイルの名称まではっきりと開示されており、攻撃手法もある程度開かれている。そのため、今回の被害はウィルス対策ソフトを導入すれば、イタチごっこになっても近いうちに検出できるようになるだろう。


問題は、今後これを模倣したXcodeの不正版がバージョンアップして登場したり、Xcode改変ソフトが作られた場合に、AppStoreの今の体制では対処が容易ではないかもしれない。要は、抜本的な対処がこれから必要になると思われる。


<Androidの方が安全なのか?>

という話になる人もいるだろうが、はっきり言えばどっちもどっちではある。ただ、iOSのセキュリティを崩したものが、セキュリティホールではなく、コンパイラを直接偽装し、攻撃用のコンポーネントを付加したもので、初っぱなからかなり高度な攻撃を備えていたことになる。要は、安全安全といっていたら、安全な防御の内側から破られ、凶悪犯が一杯入ってきたようなものだ。しかも、安全と言い続けたために、Appleユーザーの多くは、警備員を雇っていないから余計にそう思われがちなのだ。
そういう点では、Androidの方が、一時的に評価されたり、Windowsの方が良いぞと言い出す人はいるだろうが、そもそもAndroidはセキュリティソフトなしで安全という人は、ほとんどいないから・・・。Windowsはアプリがほとんどないから・・・。そういう話である。


これまでiOSは安全と言ってきた人は、それを見直す必要が本当にやってきたと言うことだ。これを中国の話と深刻に受け取らない人も多いだろうが、いつ日本向けのアプリに扮して入ってくるかは分からないのだから・・・。

だから、iOSだけが問題で、他だったら安全とは言えない。これは他でも同様の手段で行われる可能性はある。そのため、短絡的にOSがこちらなら安全という話ではないことに注意して欲しい。


<iPhone利用者が持つべき心構えと今後の対応>

iOSで脱獄は絶対にしないことと。評価が不十分なアプリや、ただ面白そうというだけのアプリは、むやみやたらと入れないことである。また、アプリのアップデートを自動化している場合は、今感染しているアプリでなければ、今後は解除して、様子を見て更新した方が良い場合もあるかもしれない。何せ、一部アプリは中国で供給されている最新バージョンだけに問題があったというのだから・・・恐ろしい。また、サードパーティセキュリティソフトの導入を急いだ方が良いだろう。

Androidでは既に当たり前のことだが、iOSでも当たり前になっただけの話である。まあ、iOSをセキュリティが素晴らしいから選ぶ時代は終わりを告げた、それでもかなり長い間頑張ってきたと言える。問題は、これからどのように、通信環境が整っていないユーザーに安全な開発ツールを与えるかだろう・・・。

結局、開発者にDVDやUSBメモリなどで無償供給の方が一番安全だったり・・・。

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント

この記事へのトラックバック