脱獄していないiPhoneなどにも感染するマルウェア「AceDeceiver」が発見!DRMの脆弱性を突いて一時的に「App Store」でも配信――中国を対象にしているものの、今後世界に広がる可能性も
脱獄していないiOSでは初のマルウェアが発見! |
Palo Alto Networks(パロアルトネットワークス)は16日(現地時間)、同社のセキュリティーチーム「Unit 42」がAppleの脱獄(Jailbreak)していないiPhoneやiPadなどのiOS搭載機器にて感染する初のマルウェア群「AceDeceiver」を発見したと発表しています。
AceDeceiverがこれまでのiOSをターゲットにしたマルウェアと異なっている点は、過去2年間にあったようなエンタープライズ証明書を悪用するのではなく、エンタープライズ証明書を使わずに自分自身をインストールする点だとのこと。
これには、AppleのDRM(デジタル著作権管理機能)における設計の欠陥を悪用しており、すでにアプリ配信マーケット「App Store」からAceDeceiverが削除されているにも関わらず、新たな攻撃経路によって引き続き拡散される可能性があるとしています。
同社ではAceDeceiverがiOSをターゲットにしたマルウェアとしては初めてのタイプで、AppleのDRM、つまり、FairPlayの特定の設計上の欠陥を悪用して、脱獄されていなくてもiPhoneなどに悪意のあるアプリをインストールできてしまうそうです。
この技術は「FairPlay Man-In-The-Middle(MITM)」と呼ばれ、2013年以降に違法コピーされたiOS向けアプリを配布するために使用されてきたとし、それがマルウェアを拡散させるために使用されているとして今回検出されたとのこと。
なお、FairPlay MITMによる攻撃は、2014年のセキュリティー関連イベント「USENIX Security Symposium」でも提起されていましたが、これを使用した攻撃は引き続き発生しているということです。
FairPlay MITM攻撃では、攻撃者はApp Storeからアプリを購入し、認証コードをインターセプトして保存し、iTunesの動作をシミュレートするパソコン用ソフトウェアによってアプリが被害者によって購入されたものとiPhoneなどに見せかけて侵入してくる仕組みで、ユーザーは一切支払いをすることなくアプリをインストールしてしまい、ソフトウェアの作成者はユーザーが気付かないうちに潜在的な悪意のあるアプリをインストールさせてしまうとしています。
今回見つかったAceDeceiverを含む3種類のiOS向けアプリは、2015年7月から2016年2月までの間に「壁紙アプリ」と称してApp Storeで配信されており、少なくとも7回はAppleの審査を回避していたことがわかっています。
App Store内での名前 | バージョン | バンドルID | リリース日 | 店舗 | 開発者 |
壁纸助手 | 6.0.x | com.aisi.aisiring | 2015/07/10 | 香港、ニュージーランド | fangwen huang |
AS Wallpaper | 7.0.x | com.aswallpaper.mito | 2015/11/07 | 米国 | Yuzu He |
i4picture | 7.1.x | com.i4.picture | 2016/01/30 | 米国、英国 | liu xiaolong |
このケースでは、ユーザーが中国国内にいる場合にAceDeceiverは悪意のある動作を表示するだけだったものの、今後、動作を随時変更することができ、Appleでは同社が2016年2月後半にこれら3つのアプリを報告した後にApp Storeから削除しています。
ただし、FairPlay MITM攻撃はすでに配布されていたアプリから引き続き実行可能で、攻撃者がAppleからの認証コードのコピーを取得できる限り、攻撃によってそれらのアプリを拡散するために、現在のApp Storeでアプリが入手可能である必要はありません
FairPlay MITM攻撃を実行するためのパソコン用ソフトウェアとして「爱思助手(Aisi Helper)」が作成され、WindowsでiOS搭載機器のバックアップやデバイス管理、システムクリーニング、脱獄などを行なうツールと称し、それ以外にも悪意のあるアプリを密かにインストールします。
注目すべきは、感染時に最新のアプリがiPhoneなどにインストールされるだけでなく、3つすべてが同時にインストールされる点で、これらの悪意のあるiOS向けアプリは、ユーザーがiOS向けアプリやゲームをダウンロードするようにサードパーティーのアプリ配信マーケットへの接続を提供します。
ユーザーはさらに機能を使用するためにApple IDとパスワードの入力が求められ、入力されたこれらの認証情報は、暗号化された後、AceDeceiverのC2サーバーにアップロードされ、2015年3月の日付のエンタープライズ証明書を持つ、早期バージョンのAceDeceiverも発見されています。
現時点では、AceDeceiverは中国本土内のユーザーのみに影響するかのように見えますが、より大きな問題は、AceDeceiverが脱獄していないiPhoneなどに感染させるための手段を証明している点で、これらの攻撃者、または模倣者によって、世界中のより多くの地域に広がる可能性があるとし、5つの点でこれまでのマルウェアよりも危険だとしています。
記事執筆:memn0ck
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・ACEDECEIVER:初のIOSトロイの木馬