iOSで過去最大のセキュリティ侵害:KeyRaiderに感染する利用者とは

2015年9月15日

もともとiOSは安全だと言われてきましたが、ここにきてその安全性を揺るがす問題に直面しています。騒動の発端は、「恐るべき」KeyRaiderによるハッキングです。これまで、225,000件を超えるiPhoneアカウントのセキュリティが侵害されたことが明らかになっています。

greatest-ios-theft-featured

実のところ、iPhoneとiPadの利用者の大半(ほぼすべて)は、このマルウェアを恐れる必要はありません。KeyRaiderに感染するのは、脱獄(ジェイルブレイク)した端末だけです。自分のiPhoneを意図的にハッキングしていない限り、KeyRaiderには侵入されません。「正規」のApple端末を使用していれば、ひとまず安心です。

Apple製品は、制限がかかった端末をそのまま使用することも、端末を脱獄させて自分好みにカスタマイズしたり、新しい機能を使えるようしたりすることもできます。自由にリスクは付きもの。自由を獲得すれば、同時にマルウェアに対してドアを開けてしまうことにもなります。

結局のところ、このマルウェアへの対抗手段は、iPhoneやiPadを脱獄させないことです。すでに被害は広がっており、中国、フランス、ロシア、日本、英国、米国、カナダ、ドイツ、オーストラリア、イスラエル、イタリア、スペイン、シンガポール、韓国など18か国で、感染した端末が見つかっています。被害の大半は中国です。

端末を脱獄させたからといって、必ずしも感染するわけではありません。マルウェアは、サードパーティのCydiaのリポジトリを介して侵入します。ここからアプリをインストールすると、端末がマルウェア入りのアプリでアップグレードされ、ユーザー名、パスワード、一意のデバイスIDが盗み出されて、悪意あるハッカーが操るリモートサーバーに送信されます。

それだけではありません。KeyRaiderはApple端末をロックし、ファイルに再びアクセスできるようにする代わりにお金を要求することも可能です。早い話が、非常に危険なマルウェアです。

身に覚えのない買い物の代金を請求された、インストールしてもいないiOSアプリが入っている、といった苦情がiPhoneとiPadの利用者からあがっていることを受け、WeipTechのエキスパートが2015年7月、調査を開始しました。犯罪者の追跡とハッカーのサーバーへの侵入に成功し、データを集めたほか、この脱獄アプリ(脱獄Tweak)をリバースエンジニアリングしてその仕組みを探りました。

WeipTechのエキスパートは、Appleアカウント絡みの(情報・金銭)窃取事例の中でも過去最大であるとしています。KeyRaiderに感染するのは脱獄した端末だけとはいえ、被害者にとっては致命的な問題です。すでに約25万人もの利用者が被害に遭っています。

自分の端末がKeyRaiderに感染している疑いがある場合は、WeipTechが作成したこちらのWebサイトで確認することができます。中国語のサイトなので、Google翻訳などをご利用ください。

そのほか、WeipTechのリサーチャーが勧める別の方法も試してみてください。やや専門的な技術を要する手順ですが、iOS端末を脱獄できるほどの腕前なら対応可能なことでしょう。手順は次のとおりです:

  • CydiaからOpenSSHサーバーをインストールする
  • SSH経由で端末に接続する
  • /Library/MobileSubstrate/DynamicLibraries/に移動し、このディレクトリにあるすべてのファイルに対して、文字列「wushidou」「gotoip4」「bamu」「getHanzi」をgrep検索する

このディレクトリにあるファイルから上記の文字列が見つかった場合は、そのファイルを削除してください。また、同じファイル名のplistファイルも削除してください。削除したら、端末を再起動します。そして必ず、Appleアカウントのパスワードを変更し、Apple IDの2段階認証を有効化してください。