iOSアプリがマルウェア感染、App Storeで4000本流通か

米Appleのソフトウェア開発ツールを改ざんした「XcodeGhost」が中国で出回り、マルウェアに感染したiOSアプリがApp Storeで配信されていたことが分かった。

[鈴木聖子，ITmedia]

　不正な開発ツールを使ってマルウェアに感染したiOSアプリがAppleのApp Storeで配信されていたことが分かり、Appleが感染アプリの削除などの対策に乗り出している。感染アプリは4000本を超すとの情報もある。

　米Palo Alto Networksの9月17日のブログによると、Appleのソフトウェア開発ツール「Xcode」を改ざんした不正な開発ツールが中国で発見され、Alibabaの研究者が「XcodeGhost」と命名。XcodeGhostはBaiduのクラウドファイル共有サービスにアップロードされ、中国のiOSおよびOS Xアプリ開発者がダウンロードして利用していた。

　XcodeGhostを使って開発されたiOSアプリには不正なコードが挿入され、端末の情報やユーザー情報を盗んだり、リモートからコマンドを受信して特定のURLを開かせたりするなどの機能が実装されている。

　こうした感染アプリがAppleの審査を通過して、App Storeで配信されていたことも判明した。Palo Alto Networksは18日時点で、Tencentが提供している人気IMアプリの「WeChat」など39本のiOSアプリの感染を確認したと報告。FireEyeは9月22日のブログで、App Storeで見つかった感染アプリは4000本を超すと伝えた。

App Storeで公開された感染アプリの一例（Palo Alto Networksより）

感染アプリは4000本以上との指摘も（FireEyeより）

　感染が確認されたのは中国のアプリが大半を占めているが、世界各国で流通しているアプリも含まれるという。

　ただ、現時点ではそれほど危険性の高い攻撃に利用されている形跡はないとPalo Alto Networksなどは伝えている。しかし数行のコードに手を加えるだけで危険な機能を実装することも可能とされ、今後犯罪集団やスパイ集団がこの手口を利用する恐れもあると同社は警告する。

　Appleは9月18日から、App Storeの感染アプリを削除する対応に乗り出したという。開発者には、公式のXcodeを使ってアプリをコンパイルし直すよう呼び掛けている。AmazonやBaiduもPalo Alto Networksなどと協力して対応に当たっている。

　米セキュリティ機関のSANS Internet Storm Centerもこの問題に言及し、iPhoneのユーザーに対しては、ファイアウォールやプロキシログで不正なHTTPをチェックするなどの対策を勧告。開発者に対しては、リソースは常に公式ロケーションからダウンロードするよう促している。