Appleは、XcodeGhostマルウェア攻撃を受けて、開発者にXcodeのダウンロードの検証を指導している

XcodeGhostと呼ばれる新しいタイプの攻撃がApp Storeでちょっとした大混乱を引き起こし、人気のiPhoneおよびiPadアプリにマルウェアペイロードを注入し、Appleに感染したアプリの削除を迫っている。

このマルウェア自体は非常に有害で、デバイスに関する情報を収集・送信しますが、拡散方法は巧妙です。攻撃者はApp Store自体を標的にするのではなく、iOSおよびOS Xの開発に必要なAppleのツールであるXcodeのハッキング版を配布しています。

Xcode は数ギガバイトのダウンロードとなるため、インターネット速度が遅い中国などの国の開発者は、ハッキングされた Xcode がアプリのコンパイル時にマルウェアを注入することに気づかずに、Apple 以外のソースからこれらの改変された Xcode ビルドをダウンロードしている。

今朝、Apple は開発者に電子メールを発行し、XcodeGhost の状況に関する最新情報を提供するとともに、Xcode のコピーが改ざんされていないかどうかを確認するためのわかりやすい手順を示しました。

Apple のメッセージは次の通りです。

先日、お客様に危害を及ぼす可能性のある偽造版Xcodeを使用して構築されたアプリをApp Storeから削除しました。改ざんされたソフトウェアから保護するため、Xcodeは常にMac App StoreまたはApple Developerウェブサイトから直接ダウンロードし、すべてのシステムでGatekeeperを有効にしてください。

Mac App StoreからXcodeをダウンロードすると、OS XはXcodeのコード署名を自動的にチェックし、Appleによって署名されているかどうかを検証します。Apple DeveloperウェブサイトからXcodeをダウンロードした場合も、Gatekeeperを無効にしていない限り、デフォルトでコード署名が自動的にチェックされ、検証されます。

アップルのマーケティング責任者で、アプリ開発者との関係を管理するフィル・シラー氏によると、「アップルは悪意のあるアプリがユーザーのデータを送信した事例を一切知らない」という。

Appleのフィル・シラー氏は中国のSinaウェブサイトに対し、悪意のあるアプリがユーザーのデータを送信した事例はAppleでは把握していないと語った。

— CNBC Now (@CNBCnow) 2015年9月22日

Apple から開発者へのメッセージは次のとおりです。

Xcode を Apple からダウンロードした場合でも、USB や Thunderbolt ディスクなどの別のソースから、あるいはローカルネットワーク経由で受け取った場合でも、Xcode のコピーの整合性を簡単に検証できます。

さらに、Apple の開発者向けポータルの投稿には、他の場所から入手した Xcode のコピーを検証するための追加手順が記載されています。

Xcode のコピーの ID を確認するには、Gatekeeper 機能が有効になっている Mac コンピューターのターミナルで次のコマンドを実行します。

spctl --assess --verbose /Applications/Xcode.app

ここで、/Applications/ は Xcode がインストールされているディレクトリです。

上記のコマンドラインは、Xcode の評価を完了するまでに数分かかる場合があることにご注意ください。基本的に、このツールは Gatekeeper がアプリケーションのコード署名を検証するために使用するのと同じチェックを実行します。

Mac App Store からダウンロードした Xcode のバージョンの場合、次の結果が返されるはずです。

/Applications/Xcode.app: accepted source=Mac App Store

Apple Developerウェブサイトからダウンロードしたバージョンの場合、結果は次のいずれかになります。

/Applications/Xcode.app: accepted source=Apple

または

/Applications/Xcode.app: accepted source=Apple System

「accepted」以外の結果、または「Mac App Store」、「Apple System」、「Apple」以外のソースは、アプリケーション署名が Xcode に対して有効ではないことを示します。