マルウェア「WireLurker」がMac OS XとiOSを狙う

OS Xマシンに感染し、そこからUSB経由でiOSデバイスに感染するAppleマルウェア「WireLurker」。iOSデバイス上の正規アプリを悪質アプリに置き換える機能も持ちます。

smashed_apple

※(2014/11/7)最終段落を更新しました。
※(2014/11/10)最終段落に情報を追加しました。

マルウェアの新たなファミリー「WireLurker」の存在が、2日前に明らかになりました。このマルウェアファミリーは、AppleのモバイルプラットフォームであるiOSと、デスクトップOSであるMac OS Xの両方に感染する能力を持っています。WireLurkerを発見したセキュリティ企業、Palo Alto Networksは、Appleマルウェアの増加を見る新たな時代の先触れであろうと考えています。

エキスパートたちは、Appleのシステムを狙った悪質なソフトウェアが大量に現れるときが来る、と長年にわたって警告してきました。一方、このカリフォルニア州クパチーノのコンピューター企業を熱烈に支持する人々は、これと同じくらいの熱心さで、この企業のマシンはマルウェア感染の心配がないのだ、と主張してきました。現実は、多くがそうであるように、その両極の間にあります。Appleを狙うマルウェアは間違いなく存在しますが、WindowsやAndroidのマルウェアほど拡がってはいません。

Palo Alto Networksのリサーチャー、クロード・シャオ(Claud Xiao)氏は次のように述べています。「WireLurkerは、中国のサードパーティMacアプリストア、Maiyadi App Storeで扱われるアプリ467個をトロイの木馬化するのに使われました。感染した467アプリは過去6か月で356,104回以上ダウンロードされており、何百何千規模のユーザーに影響を与えている可能性があります。」

カスペルスキー製品はWireLurkerを「Trojan-Downloader.OSX.WireLurker.a」として検知

このマルウェアは、この中国の大手アプリストアを利用した人にしか感染していません。しかし、だからといって他の場所に感染が拡がらないとは言い切れません。

興味深いのは、これまで見られたiOSへの脅威とは異なり、WireLurkerは脱獄(Jailbreak)していないデバイスにも感染可能な点です。Palo Alto NetworksがWireLurkerをAppleマルウェア史上における重大な分岐点と見るのにはいくつか理由がありますが、この事実はまさにそのひとつです。

このほかの理由は次のようなものです。過去のAppleマルウェアファミリーより活動規模が大きいこと。(Macにケーブル接続されているときなどに)USB経由でiOSデバイスを攻撃可能な例としては過去に1例しかないこと。悪意あるアプリを自動的に生成可能なこと。インストール済みのiOSアプリへの感染機能を持つマルウェアとしては初の例であること。

WireLurkerは、一般的な感染媒介を通じてMacマシンに感染し、MacのUSBポートにiOSデバイスが接続されるのを待ちます。USB経由でiOSデバイスが接続されると、WireLurkerはiOSデバイスに悪意あるアプリをインストールします。特殊なのは、多くの人が使っている3つのアプリを探し出す動きです。WireLurkerは中国語版のeBay、PayPal、そして人気のあるフォトエディターを探し出し、これらの正規版アプリをアンインストールし、感染したバージョンの同アプリを代わりにインストールします。

wirelurker-install

WireLurkerに感染したアプリのインストール画面
(Palo Alto Networksのレポートより転載)

リサーチャーたちは当初、WireLurkerは開発中であるため変更が加えられる可能性が高く、現時点ではその真の目的を云々することはできない、と述べていました。しかしレポート公開の直前、Palo Alto NetworksはThreatpostに対し、AppleがWireLurkerの証明書を取り消すという迅速な対応に出、以降WireLurkerの作者らはこのマルウェアの活動を完全に停止している、と語りました。

Palo Alto Networks は、WireLurkerを自分のネットワークに入れさせないためのアドバイスを掲載しています。ほとんどは企業向けの内容ですが、個人ユーザーにも役立つものがありますので、ここに掲載します。

  1. アンチウイルス製品を稼働させ、常にアップデートを適用した状態としておく。
  2. OS Xで[システム環境設定]-[セキュリティとプライバシー]に移動し、[Mac App Storeと確認済みの開発元からのアプリケーションを許可]を指定する。(以下の動画は英語版ですが、ご参考に)

  1. サードパーティのストアからアプリをダウンロードしない。
  2. iOSとOS Xは常に最新版にしておく。
  3. 自分のものではないコンピューターに接続してiOSデバイスを充電するときは、十分に気をつける。

Kaspersky Labのエキスパートは、WireLurkerに関するレポートをSecurelistにて公開しました(英語記事)。当社エキスパートはWireLurkerを2014年7月に発見しており、調査の結果、2014年5月下旬にはアジアの一部フォーラムでこのマルウェアが話題に上っていたことも明らかになりました。また、Windows PCに接続したiOSデバイスを標的とする、Windows版WireLurkerの存在も明らかになっています。最初に見つかったバージョンは、2014年3月にコンパイルされていました。Kaspersky Security Networkでの検知数は多くないものの(20件程度)、ほとんどが中国での検知です。

なお、カスペルスキー製品はWireLurkerを以下のとおり検知してブロックします:

  • Mac OS X:
    • Trojan-Downloader.OSX.WireLurker.a
    • Trojan-Downloader.OSX.WireLurker.b
    • Trojan.OSX.WireLurker.a
  • Apple iOS:
    • Trojan-Spy.IphoneOS.WireLurker.a
    • Trojan-Spy.IphoneOS.WireLurker.b
  • Windows:
    • Trojan.Win32.Wirelurker.a
ヒント