新型のiOSマルウェア出現、設計問題を突き通常端末にも感染
AceDeceiverはAppleのDRM技術「FairPlay」に存在する設計上の弱点を突き、「脱獄」させていないiPhoneなどの端末にもインストールされる。
米セキュリティ企業Palo Alto Networksは3月16日、Appleの脱獄(Jailbroken)させていない端末にも感染するiOSマルウェアを発見したと伝えた。
同社はこのマルウェアを「AceDeceiver」と命名した。過去に出現したiOSマルウェアが主に証明書を悪用する手口を使っていたのに対し、AceDeceiverはAppleのDRM技術「FairPlay」に存在する設計上の弱点を突いてiPhoneなどの端末にインストールされるのが特徴だという。
FairPlayの設計問題を突く手口は「FairPlay中間者攻撃」(MITM)と呼ばれ、海賊版のiOSアプリを流通させる目的で2013年頃から使われていたが、マルウェアに利用されたのは初めて。AceDeceiverは3種類の亜種が2015年7月〜2016年2月にかけ、壁紙アプリを装ってApp Storeにアップロードされていたという。
攻撃者はコンピュータに搭載されたiTunesクライアント経由でiOSアプリを購入してダウンロードする仕組みを悪用。購入確認に使われる認証コードを入手し、不正に利用して、被害者が知らないうちに不正なアプリを端末にインストールさせていた。
AceDeceiverの悪質な挙動が発現するのは、現時点では中国のユーザーにインストールされた場合のみだが、この仕様は簡単に変更できることから、今後は中国にとどまらず、各国に広がる公算が大きいとPalo Alto Networksは予想する。
不正アプリは3本とも2月末までにApp Storeから削除されたが、いったん同ストアにアップロードされれば削除された後も拡散を続けられることから危険度は高いと同社は解説。AceDeceiverの出現によって、「脱獄させていないiOS端末でも比較的簡単にマルウェアに感染させる手段が実証された」と指摘している。
関連記事
- Apple、マルウェア感染アプリ25本を公表
「WeChat」など主に中国で人気のアプリに被害が集中している。 - 新たなiOSマルウェア出現、非脱獄版にも感染
「YiSpecter」はiOS向けのプライベートAPIを悪用して不正な機能を実装。エンタープライズ向けの証明書を使って、脱獄させていないiOSデバイスにも感染する。 - iOSアプリがマルウェア感染、App Storeで4000本流通か
米Appleのソフトウェア開発ツールを改ざんした「XcodeGhost」が中国で出回り、マルウェアに感染したiOSアプリがApp Storeで配信されていたことが分かった。 - iOSマルウェア、22万件超のAppleアカウント情報を盗む
「脱獄」端末を狙った被害は日本を含め18カ国に及ぶ。Appleアカウント情報などの盗難のほか、iPhoneを人質に取られて身代金を要求されたなどの事例も報告されている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.