ニュース
» 2015年10月06日 07時46分 UPDATE

新たなiOSマルウェア出現、非脱獄版にも感染

「YiSpecter」はiOS向けのプライベートAPIを悪用して不正な機能を実装。エンタープライズ向けの証明書を使って、脱獄させていないiOSデバイスにも感染する。

[鈴木聖子,ITmedia]
ismlwr001.jpg 「YiSpecter」感染端末に表示されたWebページへのアクセス許可通知(Palo Alto Networksより)

 米セキュリティ企業のPalo Alto Networksは10月4日、AppleのiOSに感染する新手のマルウェア「YiSpecter」が出回っていることを確認したと伝えた。このマルウェアは脱獄させていないiOSデバイスにも感染する恐れがあり、iOS向けのプライベートAPIを悪用して不正な機能を実装しているという。

 Palo Alto Networksによると、YiSpecterは2014年11月ごろに出現し、ISPのトラフィック乗っ取りや、Windowsワームの利用、オフラインのアプリインストールといった手口を通じて、主に中国と台湾で感染が広がった。

 マルウェア検出サービス「VirusTotal」で調べたところ、10月4日現在、57社のセキュリティ製品の中で、YiSpecterを検出できているのは1社のみだった。

 YiSpecterは、Appleが発行するエンタープライズ向けの証明書を使って署名されていることから、非脱獄版のiOSにも感染できる。さらに、プライベートAPIを使って不正な機能を実装。感染しても画面にアイコンが表示されないため、ユーザーが見付けて削除することはできず、システムアプリと同じ名称やロゴを利用していることからiOSのパワーユーザーでもだまされるという。

ismlwr002.jpg エンタープライズ向け証明書で署名されたアプリインストール時に表示される確認通知(同)

 感染すると、端末上に任意のiOSアプリを呼び込んで既存のアプリと入れ替えたり、他のアプリを乗っ取って広告を表示したり、Safariの設定を変更したり、外部のサーバに端末の情報を送信したりする機能を持つ。

 被害に遭ったユーザーからは、手動で削除してもまた出現したという報告や、通常のアプリを開くと全画面広告が表示されるという報告などが寄せられているという。

 エンタープライズ証明書を悪用して脱獄させていない端末にも感染するiOSマルウェアは、過去にも出回ったことがある。プライベートAPIを使ってiOSに不正な機能を実装する手口については、研究者の間で指摘されていた。しかし、「この2つの手口を組み合わせて幅広いユーザーに被害をもたらすiOSマルウェアが実際に出回ったのは初めてであり、iOSセキュリティの壁がまた1歩押し戻された」とPalo Alto Networksは解説している。

 プライベートAPIを悪用し、Appleの審査をくぐり抜けたアプリはAppleのApp Storeでも100本以上見つかっているという。Appleには通報済みだとしている。

 ユーザーに対しては、(1)信頼できないソースからはアプリをダウンロードしない、(2)聞いたことのないデベロッパーを信用しない、(3)私用アプリはApp Storeから入手し、会社の社内アプリはIT部門の指示に従ってダウンロードする――といった対策を呼び掛けている。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -