XcodeGhostマルウェアは、Appleが明日iPhone 6sとiPhone 6s Plusの発売を控えている中、最悪のタイミングで登場しました。同社は既に、このマルウェアに感染したApp Storeアプリを削除しています。このマルウェアは、中国のApple以外のサーバーで配信された、Xcodeの不正コピーでコンパイルされたアプリにペイロードを挿入することが判明しています。
クパチーノに拠点を置くAppleは水曜日、中国国内でXcodeのダウンロードをホストすることで脅威を軽減する計画を発表しました。さらに、Appleは中国のウェブサイトにXcodeGhostに関するFAQページを掲載し、XcodeGhostマルウェアとその影響について詳しく説明しました。
Appleは「中国の開発者がXcodeのベータ版をより早くダウンロードできるように取り組んでいます」と述べた。Xcodeは、iOSとOS Xの開発に必要なAppleのツールである。
中国のソーシャルメディアサイトSinaへの投稿で、Appleのマーケティング責任者フィル・シラー氏は、Appleのサーバーからの読み込み時間が遅いため、中国の開発者が誤って地元のソースからハッキングされたXcodeビルドをダウンロードしたことを認めた。
「米国ではダウンロードに25分しかかかりません」とシラー氏はSinaに語った。
中国では、数ギガバイトに及ぶXcodeのフルビルドをダウンロードするのに「3倍の時間がかかる可能性がある」とのこと。CNETの報道によると、Appleは中華人民共和国の開発者向けに、国内でXcodeをダウンロードするための公式ソースを提供する予定とのことだ。
昨日、iPhone メーカーは開発者に対し、OS X のターミナルを使用して Xcode のコピーが改ざんされていないかどうかを確認する手順を電子メールで送信しました。
この有害なマルウェアは、感染したデバイスに関する情報を収集・送信します。Appthorityの分析によると、XcodeGhostはログインプロンプトを表示したり、ユーザーにテキストメッセージを送信させてApple IDの認証情報を入力させたりできないことが確認されました。
Appthority によると、このマルウェアは次のような動作をする。
- サーバーにリクエストを送信します(リクエスト間の固定タイマー間隔を使用)
- リクエストには、あらゆる種類のデバイス識別子(一般的なトラッキングフレームワークなど)が含まれています。
- 応答によってさまざまなアクションがトリガーされます。
- SKStoreProductViewControllerDelegateを使用してアプリ内にAppStoreアイテムを表示します
- UIAlertView を表示し、タップされたボタンに応じて AppStore ビューを表示します。
- URLを開く
- 一定時間眠る
つまり、このマルウェアはiOSネイティブのApple IDやiCloudへのログインを開始することはできませんが、Appleのウェブログインプロンプトを模倣した悪意のあるウェブページにユーザーを誘導することは可能です。この攻撃は、App Storeが大規模に侵害される可能性があることを実証したと言えるでしょう。
Appleのフィル・シラー氏は中国のSinaウェブサイトに対し、悪意のあるアプリがユーザーのデータを送信した事例はAppleでは把握していないと語った。
— CNBC Now (@CNBCnow) 2015年9月22日
では、iDevice がマルウェアに感染しているかどうかはどうすればわかるのでしょうか?
Apple によれば、このマルウェアが悪意のある行為に使用されたとか、このエクスプロイトが使用されたとしても個人を特定できる情報を送信する可能性があることを示唆する情報はないとのことです。
FAQには「個人を特定できる顧客データが影響を受けたという認識はなく、コードにはiCloudやその他のサービスのパスワードを取得するために顧客の認証情報を要求する機能もありませんでした」と記載されている。
「これらのアプリが潜在的に悪意のあるコードを使用していることが判明した時点で、直ちに削除しました」と声明には記されている。「開発者はユーザーのためにアプリを迅速にアップデートしています。」
「悪意のあるコードは、アプリや一般的なシステム情報など、一般的な情報しか配信できなかった可能性があります。」
では、App Store からアプリをダウンロードするのは安全なのでしょうか?
「この偽造ソフトウェアで作成されたことがわかっているアプリをApp Storeから削除し、このマルウェアを含む新しいアプリのApp Storeへの登録をブロックしています」とAppleは述べている。
同社は現在、影響を受けたアプリをできるだけ早くApp Storeに戻すために開発者と緊密に協力している。
FAQには、「影響を受ける人気アプリ上位25位のリストが近日中に公開されます。これにより、ユーザーはこれらのアプリの最新バージョンをダウンロードしているかどうかを簡単に確認できます」と記載されています。「影響を受けるアプリ上位25位以降は、影響を受けるユーザー数は大幅に減少します。」
Appleは、侵害の可能性があるアプリをダウンロードした顧客に通知すると主張している。「開発者がアプリをアップデートすれば、ユーザーのデバイス上の問題は修正されます。」
MacRumors は、iOS プラットフォームを標的とするこの新しいタイプの脅威についてさらに詳しく知りたい人向けに、さらに詳しい XcodeGhost FAQ をまとめました。
出典:CNET、Sina、Apple
