文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    iPhoneアプリ、審査なし配布が問題に

    • 「iPhone/iPadでのセキュリティリスク:『App Store』以外からのアプリインストール:トレンドマイクロセキュリティブログ」
      「iPhone/iPadでのセキュリティリスク:『App Store』以外からのアプリインストール:トレンドマイクロセキュリティブログ」

     今まで比較的安全と思われていたiPhone・iPadに、トラブルの元となりそうな穴がみつかっている。アップル側の審査なしでアプリが配布できてしまう問題で、不正アプリに使われる可能性がある。(ITジャーナリスト・三上洋)

    安全なはずのiOSでアプリが審査なしで配布されている

     セキュリティー大手・トレンドマイクロが、自社のブログでショッキングなリポート記事を出している。「iPhone/iPadでのセキュリティリスク:『App Store』以外からのアプリインストール:トレンドマイクロセキュリティブログ」という記事内で、iPhoneやiPadで、公式アプリ配布ストア以外からアプリを配布できてしまうという問題だ。要旨をまとめておく。

    「iPhone/iPadでのセキュリティリスク:『App Store』以外からのアプリインストール:トレンドマイクロセキュリティブログ」要旨

     ・開発者がアプリをテストする、もしくは企業内でアプリを配布する場合に使う「プロビジョニングプロファイル」を利用

     ・公式アプリ配布サイトであるApp Storeを経由しないため、Apple側の審査がない

     ・不正アプリに利用されたほか、削除されたアプリの運営側がこれを利用して配布する例も

     今までiPhone・iPadなどのiOSは、Androidに比べて安全性が高かった。iOSのアプリはすべてAppleが審査を行い、不正なものは登録されなかったからだ。iOSでは公式アプリ配布サイトであるApp Store以外からのアプリダウンロードが出来ないので、不正アプリが入り込む余地は非常に小さかった。

     しかし、この「プロビジョニングプロファイル」によって、Apple側の審査なしで、App Store以外からアプリを配布できてしまうしくみがみつかっている。「プロビジョニングプロファイル」は開発者用に用意されているもので、テストや社内限定配布などに使われているものだが、ウェブサイト経由でも配布できてしまう模様だ。これを利用すれば、Androidと同様に不正アプリが大量に出回る可能性がある。

    日本でも削除されたアプリがApp Store以外から配布されている

     「プロビジョニングプロファイル」を使った配布は、すでに国内でも行われている。トレンドマイクロがブログで紹介している音楽系アプリがそれで、筆者もApp Store以外からダウンロードできるのか実際に試してみた。

    • 問題の音楽アプリの運営サイト。App Storeからのダウンロードアイコンがあるが、実際にはApp Storeではない
      問題の音楽アプリの運営サイト。App Storeからのダウンロードアイコンがあるが、実際にはApp Storeではない
    • App Storeからのダウンロードボタンを押すと、この表示になる。App Storeではなく自主サイトからのダウンロードだ
      App Storeからのダウンロードボタンを押すと、この表示になる。App Storeではなく自主サイトからのダウンロードだ

     この音楽系アプリを仮に「L」と呼ぶことにする。「L」はとても人気のあったアプリで、App Storeで無料ランキング1位になったこともある。ランキングの曲を聴き放題と称して配布されていたもので、ユーザーがとても多かった人気アプリだ。

     しかし「L」は著作権の問題をクリアしているとは思えず、グレーなアプリとも考えられた。それが原因かはわからないが、Apple側ではこのアプリを2014年5月に削除した。ところが「L」の運営元は、2014年7月から自社サイトでの配布をスタートさせた。

     「L」のサイトへ行くと、「App Storeからダウンロード」というアイコンがあり、クリックするとポップアップウィンドーが開く。「***.amazonaws.comにより●●●がインストールされます」という表示だ。

     つまりApp Storeからのダウンロードに見せかけているが、実際は自社が用意したサイトからの入手なのだ。ダウンロード先はAmazonのクラウドサービスAWSで、いわゆるコンテンツデリバリーネットワーク=CDNを使って自主的に配布していることになる。

     そしてダウンロードしたアプリを開こうとすると、もう一度ポップアップウィンドーが開く。「開発元●●●社の●●●を開いてもよろしいですか?」というもので、「プロビジョニングプロファイル」が開発者向けに出す表示だ。「続ける」をクリックするとアプリが起動した。動作も問題なく、曲も聴けてしまうようだ。

     App Storeを使わず、iPhoneでアプリがダウンロードできてしまったのだ。このアプリについてトレンドマイクロは「この音楽アプリでは、情報窃取や破壊活動のような不正活動は認められない。ただしApp Store以外のサイトからアプリをインストールさせる手法は、悪意の攻撃者も利用が可能であろうと思われる」とコメントしている。

    • ダウンロードしたアプリを起動した時の表示。開発者向け機能を利用している
      ダウンロードしたアプリを起動した時の表示。開発者向け機能を利用している
    • 実際にアプリは問題なく動作しており、音楽も聴けるようだ
      実際にアプリは問題なく動作しており、音楽も聴けるようだ

    開発者向けプロファイルを悪用したもの?

     問題の「プロビジョニングプロファイル」は、本来はAppleへのDeveloper Programメンバーシップ(開発者登録)がある管理者しか作成できない。上記の「L」というアプリについては、以前のApp Storeで配布していたため開発者登録があって、それを利用した可能性がある。

     ただし悪用される場合もあるようだ。トレンドマイクロのブログ記事「MacからiPhone/iPadをも狙う「WireLurker」、その危険性と行うべき対策は?:トレンドマイクロセキュリティブログ」で、このしくみを悪用した「WireLurker(ワイヤーラーカー)」という不正アプリについて取り上げている。

     それによるとトロイの木馬化した「WireLurker」が、開発者の配布証明書の照合システムを悪用して、iOS端末にインストールされてしまうとのことだ。セキュリティー関係者の会合では、このしくみを悪用してiOS上でバックドア(裏口)を忍ばせる実演が行われている。また別の不正アプリ「Masque Attack」では、コード署名の不備を利用し、すでに端末上にあるアプリを置き換えてしまう攻撃も行われていた。

     このようにプロビジョニングプロファイルのしくみを悪用し、不正なiOSアプリが、AppStoreで削除されたアプリが配布されている。「iOSなら安全」という常識は通用しなくなる可能性が高い。

    iPhone・iPadを使う場合の注意点

     今回の問題は、今すぐ攻撃に遭ったり、トラブルの被害を受けたりするものではない。しかしながらiOSでも、アプリの無断配布ができてしまう、という点を頭に入れておくべきだ。iPhone・iPadであっても、Androidと同様に不正アプリが出回る可能性があるので、以下の注意点を守ってほしい。トレンドマイクロがまとめた注意点に筆者が注釈を加える。

    ★iPhone・iPad利用での注意点

    ●iOSのバージョンを最新に保つ

     →安全に使うために、OSをできるだけ最新バージョンにすること

    ●App Store以外からアプリを入手しない

     →サイト上のURLをクリックするのではなく、App Storeを自分で開き、アプリ名を検索するなどしてダウンロードすること

    ●App Storeからのアプリ入手の場合も、アプリに対するレビューの数やその内容、アプリの開発者情報などを確認し、不審な点がある場合にはインストールしない

     →ごくまれにApp Storeでも審査ミスで、不正なアプリが配布されることがある。そのためにレビューにはよく注意する

    ●iOS端末をJailbreak(脱獄)しない

     →Apple側の制限を解除する改造であるJailbreak(脱獄)をしないこと。不正アプリの被害に遭いやすくなるからだ。

     iPhone・iPadは安全という神話に頼らず、アプリダウンロードには警戒しよう。自分だけでなく、家族にも声をかけてほしい。

    2014年12月16日 10時08分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP