Apple
一昨日、マルウェアWireLurkerが利用するAppleのぜい弱性が公表されました。WireLurkerは、Mac OS XおよびWindowsが稼働するコンピューターに感染し、USB接続を介してiOSデバイスに感染するマルウェアです。
このぜい弱性は「Masque」と呼ばれるもので、影響を受けるのはiOS 7.1.1、7.1.2、8.0、8.1、8.1.1ベータです。興味深いことに、WireLurkerに関する最初のレポートでは、iOSデバイスへはUSB接続を通じてでないと感染しないとされていましたが、一昨日のFireEyeのレポートでは、SMSメッセージやメールでもMasqueバグを悪用可能であるとしています。とはいえ、SMSメッセージまたはメールを通じて感染するには、メッセージの受け手にリンクをクリックさせ、悪意あるアプリをインストールさせなければなりません。
Apple製品を狙うマルウェア #WireLurker に関わる #iOS のぜい弱性が公表される
Tweet
技術的な話をしましょう。Masqueを利用することで、正規のiOSアプリを悪意あるものにひっそりと置き換えることが可能となります。Masqueというぜい弱性は、開発者がアプリをApp Storeへアップロードしない場合はアプリのデジタル署名の身元がダブルチェックされない、というiOSのプロビジョニングの問題と、ある程度の関わりがあります。したがって今回のケースでは、単に感染先のコンピューターからiOSデバイスへアプリがアップロードされただけだったため、合法的に署名されたWireLurkerの証明書に関してiOSは警告を発しませんでした(違う証明書を使っていたにもかかわらず)。初期のiOSマルウェアとは違って脱獄していないデバイスにも感染できたのは、そのためです。
OS Xマシンに感染し、そこからUSB経由でiOSデバイスに感染するAppleマルウェア「WireLurker」。脱獄していないiOSデバイスにも感染する能力を持ちます。 http://t.co/LPQ7UuQuxZ pic.twitter.com/8GZaQAjArA
— カスペルスキー 公式 (@kaspersky_japan) November 7, 2014
FireEyeはMasqueを標的として実環境で活動している攻撃はWireLurkerだけだと述べていますが、犯罪者の間で広まっているようです。Masqueにはまだパッチが適用されていません。Appleは、WireLurkerに使われていた証明書を直ちに無効化するという迅速な措置をとりました。
先週Palo Alto NetworksがWireLurkerに関するレポートを発表してすぐ、このマルウェアに関わる集団は活動を停止しました。しかし、この集団がまだ活動中だったときに見せていた行動は次のようなものでした。WireLurkerはWindowsおよびMacのコンピューターに感染し、感染先で潜伏しながらiPhoneやiPodのようなiOSデバイスが接続されるのを待ち構えます。デバイスが接続されると、広く使われているいくつかのアプリがあるかどうかデバイス上を探します。アプリが見つかると、WireLurkerはアプリを削除し、代わりに偽の、トロイの木馬化したアプリをインストールします。このマルウェアが最終的にどんなデータを求めていたのかは、不明です。
WireLurkerの影響を受けたのは、中国のサードパーティアプリストアであるMaiyadiから、アプリをダウンロードした人に限られます。Palo Alto Networksのリサーチャーは、Maiyadiにて感染したOS Xアプリが467個みつかり、10月16日時点で350,000回以上ダウンロードされ、ダウンロードした人の数は100,000人以上に上ると述べています。
Kaspersky LabのGlobal Research and Analysis Team(GReAT)は、Securelistに公開したレポートの中で次のように述べています。「Mac OS Xデバイスにアンチマルウェア対策を講じることがいかに重要か、いくら強調しても足りません。Mac OS Xデバイスが感染するだけではなく、いかにしてMacからiPhoneへと感染を拡大可能か、WireLurkerは示しています。幸いにも、Mac OS Xデバイスを保護するための手段は数多くあります。弊社のカスペルスキーインターネットセキュリティfor Macも、そのひとつです。」
ヒント