4万超のiOSアプリに深刻リスク 企業が取るべき4つの対策：セキュリティニュースアラート

Zimperiumは、企業のiOSデバイスにおける非公式アプリ導入の危険性を指摘した。TrollStoreやSeaShell、MacDirtyCow脆弱性の悪用により、機密データ漏洩や遠隔操作などのリスクが発生している。

[後藤大地，有限会社オングス]

　Zimperiumは2025年5月15日（現地時間）、「iOS」デバイスに対する悪意あるモバイルアプリについて伝えた。

　iOSは強固なセキュリティを持つと認識されているが、ユーザーがインストールするアプリが深刻なリスク要因となる可能性がある。特に業務と無関係なアプリが企業デバイスに導入されると企業認証情報や機密データの漏えいリスクが高まるという。

非公式アプリがもたらす深刻リスクへの4つの対策

　審査されていないアプリは過剰な権限を要求したりマルウェアを含んだりすることがあり、利用者がその影響を十分に理解しないままデータを外部に流出させる可能性がある。Appleの「App Store」には一定の審査体制があるが、サイドロードや非公式ストア経由のアプリは審査を経ないため特にリスクが高いとされる。

　Zimperiumは悪意あるモバイルアプリに対抗するためにアプリベッティング（アプリの審査）の重要性を強調している。企業がアプリベッティングを怠るとデータ漏えいやマルウェア感染、GDPRやHIPAAなどのデータ保護規制違反、信頼の喪失などのリスクが生じると警告している。

　脅威の一例としてTrollStoreとSeaShellマルウェアを挙げている。TrollStoreは、Appleの正規プロセスを回避してiOSデバイスにアプリを恒久的にインストールできるツールで、CVE-2022-26766およびCVE-2021-30937といった脆弱（ぜいじゃく）性を悪用してアプリに私的エンタイトルメントを付与する。この機能により、本来利用できないはずのシステム機能へのアクセスが可能になる。SeaShellマルウェアは侵害したiOSデバイスをリモートで制御可能にするフレームワークで、攻撃者は暗号化した通信経由でデバイスにアクセスし、SMS履歴や連絡先の取得、システムコマンドの実行などを実施する。

　また、iOSのXNUカーネルに存在するコピーオンライト（COW）処理の競合状態を突く脆弱性であるMacDirtyCow（CVE-2022-46689）についても触れている。この脆弱性を悪用することで保護されているシステムボリュームに一時的に不正変更を加えることができ、TCC（Transparency, Consent, and Control）データベースの改ざんを通じた権限の不正取得などが可能となる。

　これらの攻撃は実際にZimperiumによって観測されており、特に非公式ストアを経由したアプリの導入によりiOSデバイスへの高度な侵害が容易になると警告している。

　Zimperiumはこれらのリスクに対処するため、次のような包括的なアプリベッティング手法を提案している

• 静的解析：　アプリのバイナリを検査し、既知の脆弱性、隠れたエクスプロイト、悪意のあるパターンを特定する。静的分析でプライベートAPIの潜在的な不正使用、権限の不適切な実装、埋め込まれたバックドアなどを発見する
• 動的解析：　アプリ実行時の挙動を監視し、静的解析では見つからない不正なファイル操作やネットワーク通信、サンドボックス回避などを特定する
• 権限解析：　アプリの要求する権限と機能の整合性を確認し、不必要または過剰な権限の要求を検出する
• ベンダー検証：　アプリ開発者またはソースの信頼性を確認し、過去の実績に基づいてリスクを低減する

　Zimperiumでは4万以上のアプリに非公開エンタイトルメントの使用を確認しており、さらに800以上のアプリに非公開APIの使用を検出している。

　Zimperiumは、「iOSの堅牢（けんろう）なセキュリティを過信せず、アプリの導入にあたっては徹底した審査と管理体制を構築する必要がある」と述べている。適切なアプリベッティングにより権限の乱用やマルウェアによる侵害、システムレベルの脆弱性悪用といったリスクを未然に防ぐことが可能だとしている。