XcodeGhost 攻撃をめぐる騒ぎが沈静化したかに見えたが、Palo Alto Networks のセキュリティ研究者が新しいタイプの有害なマルウェアを特定した。
YiSpecter と呼ばれるこのマルウェアは、ジェイルブレイクされた iOS デバイスにも、ジェイルブレイクされていない iOS デバイスにもインストールすることができ、Apple のプライベート API を悪用して悪意のある機能を実装する初の iOS マルウェアです。
この新しいタイプの攻撃について知っておくべきこと、このマルウェアに関する Apple の発言、そしてデバイスが YiSpecter に感染するのを防ぐためにできることをすべて紹介します。
いつ発見されたのですか?
このマルウェアは10ヶ月以上前から出回っているため、おそらく2015年1月には既に確認されていると思われます。Palo Alto Networksによると、VirusTotalに登録されている57のセキュリティベンダーのうち、このマルウェアを検出しているのは1社のみです。
YiSpecter はどのように拡散するのでしょうか?
YiSpecter は、一般的なソーシャル ネットワーク エンジニアリングのトリックやフィッシング詐欺を通じて拡散しますが、全国規模のインターネット サービス プロバイダー (ISP) からのトラフィックのハイジャック、Windows 上の SNS ワーム、オフラインでのアプリのインストールやコミュニティのプロモーションなど、かなり珍しい手段も含まれています。
サイレントインストールされますか?
ありがたいことに、そうではありません。マルウェアはエンタープライズプロビジョニングプロファイルで署名されているため、ユーザーはインストールを承認する必要があります。
誰が影響を受けるのでしょうか?
YiSpecter は主に中国本土と台湾の iOS ユーザーに影響を与えます。
iOS デバイスが感染しているかどうかはどうすればわかりますか?
YiSpecterに感染したiOSデバイスでは、ジェイルブレイクの有無にかかわらず、いくつかの奇妙な動作が観察されます。例えば、アプリを起動すると全画面広告が表示されることがあります。また、ファイル閲覧ツールを使用すると、感染したデバイス上に奇妙な「システムアプリ」が表示されることがあります。
それは何ができるのでしょうか?
デバイスが感染すると、YiSpecterは任意のアプリをダウンロード、インストール、起動できるようになります。また、既存のアプリをダウンロードしたアプリに置き換えたり、他のアプリの実行を乗っ取って広告を表示したり、Safariのデフォルトの検索エンジン、ブックマーク、開いているページを変更したり、デバイス情報をC2サーバーにアップロードしたりすることも可能です。
このマルウェアを手動で削除できますか?
YiSpecter を手動で削除しても、自動的に再表示されます。
どのアプリが影響を受けますか?
本稿執筆時点では、App Store にある 100 を超える iPhone、iPod touch、iPad アプリケーションが YiSpecter に感染していたようです。
どうすれば自分を守れるでしょうか?
まず第一に、iOS 8.4以降にアップデートしてください。iOS 8.4、iOS 9.0、iOS 9.0.1はすでにこの脅威に対処しています。古いバージョンのiOSを使用していて、信頼できないソースからコンテンツをダウンロードしたことがある人は、心配する理由があります。
いつもの注意事項が適用されます。App Store以外で信頼できない開発者のソフトウェアをダウンロードしたり、そのようなアプリをデバイスにサイドロードしたりしないでください。テクニカルサポート担当者向けのアプリと称して、特別なアプリのインストールを促すアプリ内オファーにはご注意ください。
最も重要なことは、アプリがエンタープライズ プロビジョニング プロファイルのインストール許可を求めてきた場合、許可を与える前によく考えることです。
Appleは何て言っているのでしょうか?
AppleはThe Loopに対し、新たなマルウェアの脅威についてコメントする声明を発表した。
この問題は、信頼できないソースからマルウェアをダウンロードした古いバージョンのiOSユーザーのみに影響します。この問題はiOS 8.4で修正され、このマルウェアを配布する特定アプリもブロックされました。
お客様には、最新のセキュリティアップデートをご利用いただくために、iOSを最新バージョンにアップデートしていただくようお願いいたします。また、App Storeなどの信頼できるソースからのみアプリをダウンロードし、ダウンロード時には警告にご注意ください。
したがって、必要な安全対策が施された iOS 8.4 がインストールされており、アプリを必ず App Store からダウンロードすれば安全です。
さて、良いニュースです…
Mac セキュリティ専門家で、Malwarebytes の Mac オファリング担当ディレクターの Thomas Reed 氏によると、YiSpecter は確かにかなり独特な動作を見せるが、それでも「これまでの他の iOS マルウェアと比べて、目に見えない形でインストールできるというわけではない」という。
「この件には2つの懸念点があります」とリード氏はメールで述べた。「1つはマルウェアの削除が難しいことです。全てを完全に消去するために、携帯電話を完全に工場出荷時の状態にリセットすることをお勧めします。」
「2つ目は、このマルウェアが拡散した方法が多岐にわたることだ。修理技術者などに、修理した携帯電話にマルウェアをインストールさせるインセンティブや、ISPが挿入した広告のハッキングなどが含まれる」と彼は続けた。
ISP からのトラフィックのハイジャック、オフラインでのアプリのインストール、コミュニティでのプロモーションは、中国や台湾ではマルウェア拡散の一般的な手法ですが、北米や西ヨーロッパなどの地域では、この種の活動を防ぐための厳しい管理が実施されているため、これらの手法が効果を発揮する可能性は低いです。
「それでも、これによって影響を受ける中国の人々にとっては何の助けにもならない」とリード氏は語った。
「この攻撃は、iOS 用のマルウェア対策ソフトウェアが存在せず、サンドボックスの制限によりソフトウェアが iOS をスキャンする方法がないという事実によって複雑になっています。」
出典:パロアルトネットワークス
