App Store上の40アプリに感染の疑い

2015年9月30日

Appleの安全な箱庭でワームが見つかりました。約40のiOSアプリが、Appleデバイスのボットネット構築を目的とするマルウェアに感染していたとしてApp Storeから削除されています。

xcodeghost-featured

このマルウェアXcodeGhostに感染したアプリは相当数に上り、たとえばユーザー数6億人超のWeChatをはじめNetEaseの音楽ダウンロードアプリ、名刺スキャンアプリCamCard、Didi KuaidiのUber風の配車アプリなどが感染しています。しかも、Angry Birds 2の中国語バージョンまで感染している始末。もはや聖域などないのでしょうか?

Appleは大変な時間と手間をかけてApp Store内のアプリを1つ1つ監視しています。App Storeのこのような取り組みこそ、マルウェアに文字どおり付きまとわれているGoogle Playやサードパーティストアとの大きな違いです(少なくともGoogleが2014年に独自のマルウェアスキャンシステムを導入するまでは)。

こうしたことを考えると、2015年9月はAppleにとって災難続きの月だったと言えるでしょう。脱獄デバイスを狙ったマルウェアがエキスパートに発見されて「Appleアカウントを巡る過去最大のセキュリティ侵害」が大きな話題になったと思えば、今回、セキュリティ企業Palo Alto NetworksがApp Storeで感染ソフトウェアを発見(英語記事)したのですから。

Xcodeとは?XcodeGhostは具体的にどんなマルウェア?

Xcodeはソフトウェア開発者が無料で使えるツールセットで、iOSやApp Store向けのアプリの作成に使用されます。公式にはAppleが配布していますが、さまざまなサードパーティが非公式で配布しています。

XcodeGhostはXcodeに影響を与えるマルウェアです。そのため、感染したツールで作成されたアプリも感染してしまいます。こうしたアプリは利用者の個人情報を盗んでハッカーに送信します。

どうやってアプリに感染したのか?

Apple公式のXcodeが感染したわけではありません。問題は、百度(中国版のGoogleのようなもの)のクラウドストレージサービスにアップロードされている非公式バージョンです。中国では、必要なツールをサードパーティのサイトからダウンロードするのが一般的ですが、それが非常にまずい習慣であることが今回の件で明らかになりました。

中国の開発者が安全な公式サイトではなく、危険な非公式サイトを選ぶのには理由があります。インターネットがかなり遅いことに加えて、中国政府が外国のサーバーへのアクセスを3つのゲートウェイに制限(英語記事)しているからです。Xcodeツールのインストールパッケージは約3.59GBなので、Appleのサーバーからダウンロードするには相当な時間がかかります。

つまり、XcodeGhostを操る犯罪者は、非公式のツール一式をスマートで検知不可能なマルウェアに感染させ、正規の開発者に不正アプリを作成させていたのです。Palo Alto Networksのリサーチャーの調査(英語記事)によると、悪意あるXcodeパッケージは6か月もの間ダウンロード提供され、iOS向けの新規アプリや更新アプリの開発に何度も利用されていました。作成されたアプリは当然ながらApp Storeに提出され、Appleのアンチマルウェアスキャンシステムをどうにかしてすり抜けたというわけです。

次はどうなる?

Appleは先ごろロイターに対し、把握している限りの悪質アプリをApp Storeから削除し、適切なバージョンのXcodeを使用するよう開発者に働きかけていることを認めました(英語記事)。

とはいえ、これで一件落着とはいきそうにありません。感染したアプリがいくつあるのかは、いまだに不明です。ロイターの報道によると、中国のセキュリティ企業Qihoo360 Technology Coが、XcodeGhostに感染したアプリを344個発見したと主張しています。

この一件は、サイバー犯罪の新時代の幕開けかもしれません。非公式ストアや一般の利用者と同じように開発者もリスクにさらされる、という時代です。他の犯罪者がXcodeGhostの作成者の手口を模倣する可能性もあります。さらにSANS Instituteは、XcodeGhostの作成者がソースコードをGitHubで公開し、無料で利用できるようにしていると報じました。

偶然ですが、Xcodeツールは今年前半にもメディアの注目を集めていました。そのときは、CIA主催で年1回開催されるセキュリティリサーチャーの秘密の集い(英語記事)「Jamboree」での話題でしたが。

このイベントでは、セキュリティリサーチャーがAppleのXcodeの改変バージョンを開発したと発表しました。そのツールを使って作成されたアプリに、監視用バックドアを忍ばせることができるそうです。