マルウェアAceDeceiver:あらゆるiPhoneに感染の恐れあり

2016年4月18日

iPhoneはAppleがユーザーのために作ってくれた難攻不落の要塞。たいていのiPhoneユーザーはそう思っています。iPhoneは、特にAndroidデバイスと比べて安全・安心であると言われてきました。事実、iPhoneはAndroidスマートフォンよりも「はるかに安全」ですが、だからといって「100%安全」というわけではありません。陥落しない要塞など存在しないのです。

apple-vulnerability-2-FB

Kaspersky Daily(当ブログ)では、悪質なiOSの脅威をすでに何度か取り上げていますし(その1その2)、Appleデバイスの安全を確保するためのアドバイスもいくつか紹介しています。しかし、iOSマルウェアはその後も登場しており、Palo Alto Networksが発見した最新のサンプルは、今のところ最も危険なマルウェアの1つと言えそうです(英語記事)。

理由は何でしょう。それは、iOSデバイスを脱獄させる必要もなければ、盗んだエンタープライズ証明書も使わずに、悪意あるソフトウェアをインストールできるからです。そんな新しいマルウェアファミリーAceDeceiverは、ほぼ「すべて」のiOSデバイスに感染する能力を持っています。

本来は善き意図のものが…

すべての始まりは、欲しいものをタダで手に入れるという、斬新な考え方でした。今回のケースでは、FairPlay Man-in-the-Middle攻撃(FairPlay中間者攻撃)と呼ばれる、海賊版iOSアプリを配布する手法が使われました。中間者攻撃の概念の説明は省きますが、詳しくはこちらの記事を参照してください。今回の記事では、FairPlayとは何か、AceDeceiverの実際の仕組みはどのようなものかに注目していきたいと思います。

FairPlayは、Appleで使用されている音楽、動画、iOSアプリ用デジタル著作権管理(DRM)システムです。ご存知のとおり、PC上のiTunesクライアントでアプリを購入したら、iPhoneに転送することができます。その際、当然のことながら、この人が本当に購入したアプリであることの証明が必要です。証明には、アプリケーションごとにiTunesが生成する認証コードが使われます。これが、FairPlayの仕組みです。

問題は、どのアプリでも認証コードが常に同じであることです。つまり、一度でもコードを傍受できれば、これを使ってiPhoneやiPadに何度でもアプリをインストールできます。これが、FairPlay Man-in-the-Middle攻撃の基本的な動作です。

acedeciever-mitm

二面性をもったアプリ

やがてこの手法は進化を遂げ、フル機能の海賊版アプリストアが作成されるようになりました。攻撃の基盤となるのはAisi HelperというWindowsプログラムで、はじめはiPhoneの脱獄、データのバックアップ、iOSの再インストールに使われていました。新たな機能が追加されると、Aisi Helperがインストールされているコンピューターに接続しているiPhoneに、同じ名前のアプリを挿入するようになりました。そのアプリは、無料でダウンロードできる海賊版アプリを大量に表示しました。

興味深いことに、このAisi Helperアプリ自体が例のFairPlay Man-in-the-Middleの手法でiPhoneにインストールされています。そのため、Aisi Helperの作成者はiPhoneにこのアプリを挿入するために、まずApp Storeにアップロードし、正式な認証コードを取得する必要がありました。問題は、Appleが海賊版アプリストアを好まない点です。

Appleのコード検閲者を騙すため、Aisi Helperは自身を無害でつまらない無料の壁紙アプリに見せかけました。そして、真の姿がばれないようにするため、犯罪者は二重の仕掛けを施しました。1つは、アプリを米国と英国のApp Storeでしか公開しなかったこと。これは、中国のユーザーが入手できないようにするためです。もう1つは、アプリの初回起動時にスマートフォンの位置情報を確認し、中国でない場合は壁紙だけを表示したことです(2回目の起動以降も壁紙だけ表示)。

このため、米国のApp Storeコード検閲者や一般利用者が本当の海賊版アプリストアのインターフェイスを見るには中国国内にいなければなりませんが、ほぼありえない話です。そういうわけで、このアプリがただの壁紙セットではないと気付いた人はいませんでした。

すでにAppleは、Aisi Helperの全バージョンをApp Storeから削除しています。ですが、削除したからといって、このマルウェアの息の根を止めたことにはなりません。実は、FairPlay Man-in-the Middle攻撃を実行するのにアプリをApp Storeに提供する必要はありません。必要なのは、「一度でもApp Storeにあった」ということ。Aisi Helperの壁紙/海賊版アプリストアのアプリは、まさにその通りでした。

FairPlayなのにアンフェア

では、海賊版アプリストアには、法的問題や倫理的問題のほかにどのような問題があるのでしょうか。たとえば誰かから「これ、盗んだものだからタダであげるよ」と言われても、信じてはいけません。絶対に。99.9%の確率で、あなたは騙されています。

そして、それがこの手のアプリなら、まさに現実の話になります。これらのアプリはしばらくの間、利用者にとって無害でした。それがある時点から、「さらに多くの機能」のためにApple IDとパスワードの入力を求めるようになったのです。入力されたログイン情報は、AceDeceiverのコマンドサーバーにアップロードされます。

なぜKaspersky DailyでAceDeceiverを取り上げたのか、おわかりかと思います。FairPlayのセキュリティ上の欠陥は、まだ修正されていません。たとえ修正されたとしても、古いOSバージョンは同様の攻撃に対して脆弱であり続けるでしょう。

では、自衛策は?

良いニュースは、この特殊な攻撃は中国本土の人だけを標的としていること。悪いニュースは、この脆弱性を悪用して新しいマルウェアを作成し、別の国を標的として、さらに大きな危害を加えるのは簡単だということです。つまり、中国に住んでいようといまいと、次の対策をお勧めします。

  1. iPhoneを脱獄しようとは考えないでください。これまでも決して安全な行為ではありませんでしたし、おわかりのように、脱獄を必要とするソフトウェアこそ、安全ではありません。
  1. これまでGoogle Playを利用する際のルールとして提案してきましたが、どうやらApp Storeにも当てはまります。インストールするアプリには、十分ご注意ください。AceDeceiverの作成者は、あるトリックを使えばAppleのコード審査を回避できることを証明しました。残念ながら、iOSではアンチウイルス製品が許可されていませんので、マルウェアが侵入してしまえば、あとは自分でどうにかするしかありません。
  2. 幸いなことに、他のデバイスは守ることができます。できる限り、どのデバイスにも優秀なセキュリティ製品を使いましょう。今回のケースであれば、PCにインストールされたアンチウイルス製品が、Aisi Helperを悪意あるAceDeceiverとして検知できていたはずです。