セキュリティ対策ソフトメーカーのパロアルトネットワークスが、中国のアップル App Store が配布するiOSアプリにマルウェアが混入しているものを発見しました。マルウェアは改ざんされた非純正の開発環 境 XcodeGhost を使って作られたことが分かっています。
当初は中国国内のみのわずかなアプリでしか見つかっておらず、端末から個人情報を抜き出すだけのものと思われていましたが、最新の情報ではすでに数十~数百の感染アプリがみつかり、WeChat など各国で配布される著名アプリにも感染が拡がっています。 App Storeでアプリを配布するには、アップルが提供する開発環境 Xcode を使って開発し、公開前には必ず審査を受けなければなりません。 にもかかわらずマルウェア感染アプリが多数出回った背景として、 パロアルトネットワークスは Xcode を改ざんした"XcodeGhost"が出回っていると指摘します。
Xcode はアップルが開発者に無料配布しているものですが、中国ではアップルの公式サーバとのネットワーク環境が極端に悪い場合があり、違法に二次配布配布を行うサーバーも点在しています。XcodeGhost はそうした転載サーバーに、通常のXcodeを装って登録されていました。
XcodeGhost で作られたアプリは、実行とともにその iPhone に付けられれた名前、UUID、使用言語と住所、実行時刻そしてネットワーク種別を収集。暗号化したうえでアプリ側が指定するサーバーへ送信します。この動作自体はマルウェアでなくとも行うことがあり、アップルの審査をくぐり抜けた理由ではないかとパロアルトネットワークは推測しています。
しかし中国のアプリ開発者の証言など最新の情報では、XcodeGhostでコンパイルされた感染アプリは外部のサーバから指令を受け、クリップボードの中身を盗み出したり、 iCloud へのログインプロンプトを偽装してパスワードの入力を促し、フィッシング攻撃を試みるものも発見されているとのこと。
発表当初、パロアルトネットワークスは XcodeGhost で作られた悪意あるアプリは中国国内の App Store で配布されるふたつのアプリだけだとしていました。しかしその後の調査で感染したアプリが続々と発見されたため、現在は感染アプリのリストを公開し、数億人が利用していると警告しています。また中国のセキュリティ企業のなかには、すでに感染アプリの数が300を超えるとしてそのリストを公開しているところもあります。
感染アプリのなかには、チャットアプリ WeChat や名刺管理/スキャナーアプリ CamCard といった世界的に利用されているものの名前もあり、それらは中国以外の App Store でも感染しているものがみつかっているとのこと。
ちなみに、中国のセキュリティ企業 bobao.360.cn では344種類の感染アプリリストを公開しています。また脱獄ツールで知られる Pangu は XcodeGhost で作られたアプリを検知するツールを公開しました。ただしこれは業務用アプリのインストール方法とおなじ AppStoreを経由しない方法でのインストールが必要。試されたい方は自己責任でどうぞ。
アップルによる審査をすり抜けて不正なアプリが配布された例は、これが初めてではありません。「iPhone だから安全」という認識も、そろそろ改めなければいけない時期に来ているのかもしれません。
(2015年09月20日 Engadget日本版「App Storeのアプリ多数にマルウェアが混入、パスワード盗難の危険。中国発の改竄コンパイラXcodeGhostが原因」より転載)
【関連記事】