文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    iPhone・iPadも危険…不正アプリの被害

     安全と言われてきたアップルのiPhone・iPadなどの「iOS」で、サイバー攻撃の被害が立て続けに報告されている。不正アプリによって、iPhoneにある個人情報が抜き取られる可能性がある。(ITジャーナリスト・三上洋)

    9月から11月にかけてiOS狙いの攻撃が3件連続発生

    • 9月に発生したXcodeGhost問題。不正な開発ツールが原因だった(ルックアウトによる)
      9月に発生したXcodeGhost問題。不正な開発ツールが原因だった(ルックアウトによる)

     スマートフォンやタブレットなどモバイル端末でのセキュリティーが問題になっている。モバイルセキュリティーの専門企業・ルックアウト社が、17日に「2016年業界予測:モバイル/サイバーセキュリティー最前線」として、モバイルでの2015年の事件まとめと2016年の予測を発表した。

     まずルックアウト・ジャパンのテクニカルアカウントマネージャー・石谷匡弘氏は「スマートフォンが個人だけでなく企業でも活用されるようになった。2017年には日本で9000万人がスマートフォンを使うと予測されており、モバイル端末を狙った脅威が増加するだろう」と述べた。

     今までセキュリティー対策はパソコン中心に行われてきたが、iPhoneやAndroidなどのモバイル端末が狙われている。特に2015年はiPhoneとiPadのiOSに対する攻撃が増加した。ルックアウト社が取り上げた事件を見ていこう。

    ●公式配布サイトApp Storeで、不正アプリが大量配信(XcodeGhost問題 2015年9月)

     この連載・サイバー護身術でも取り上げたが、9月に40を超えるiOSの不正アプリ(マルウェアアプリ)が出回った。主に中国で使われているアプリだったが、日本でも利用者がいるチャットアプリ「WeChat」や、動画アプリ「OPlayer」などの有名ソフトで、不正なURLへの誘導や勝手な通知表示などの不正な動きが可能になっていた。

     原因はアプリ開発ツールにあった。アプリの開発ツール「Xcode」の偽物=Xcode Ghost(エックスコード・ゴースト)が中国などで出回り、その偽ツールで開発されたアプリが不正アプリになってしまったのである。つまりアプリが改造されたわけではなく、本物のアプリが汚染されていたのだ。

     石谷氏は「開発環境が汚染されていたために、アップルが気付かずに審査を通してしまい、AppStoreで配布されてしまった」と述べている。このトラブルは解消されているが、今後も起きる可能性がある。中国では接続環境の問題で国外のファイルを落とすのに時間がかかるためにコピーサイトを利用することが多く、問題のあるツールが出回ってしまう余地があるからだ。

    ●情報抜き取り・不正アプリ導入・広告ハイジャックなどを行うYiSpecter(イースペクター)の出現(2015年10月)

    • 10月に出現したYiSpecter(イースペクター)。AppStoreではなく広告などから不正アプリを導入させていた
      10月に出現したYiSpecter(イースペクター)。AppStoreではなく広告などから不正アプリを導入させていた

     10月には、情報抜き取り・広告ハイジャックなどを行う凶悪な不正アプリが問題になった。YiSpecter(イースペクター)と呼ばれるもので、AppStoreではなくアプリ内広告などで表示されるメッセージなどで広がっている不正アプリだ。企業内でのテスト配布用のしくみ(エンタープライズ配布用証明書)を悪用している。

     このアプリはアップルの審査を通っておらず、犯人が用意した不正なAPI(外部から呼び出してサービスや機能を提供するしくみ)を利用する。そのため任意のiOSアプリを勝手に導入できる他、広告表示のため他のアプリ実行をハイジャックしたり、ブラウザーの検索エンジンを書き換えたりすることも可能だった。

     被害は主に中国語圏で、日本での被害は確認されていない。しかし日本でもこの配布のしくみを使っているアプリが過去にあり、悪意があるアプリが出回る危険性も考えられる(本連載の2014年12月の記事「iPhoneアプリ、審査なし配布が問題に」参照)。

    ●イギリス・カナダで人気No.1のアプリ「InstaAgent」実はマルウェア(2015年11月)

    • AppStoreでの人気No.1アプリ「InstaAgent」がマルウェアだった
      AppStoreでの人気No.1アプリ「InstaAgent」がマルウェアだった

     人気の写真SNS・インスタグラムを楽しむための非公式アプリが、マルウェアだったという事件が11月に起きている。「InstaAgent(インスタエージェント)」というインスタグラムのクライアントアプリで、ユーザー名とパスワードを外部に送信していた。

     石谷氏によれば「イギリスとカナダで、無料アプリランキングの1位にもなった人気アプリだ。作者は『悪意はなかった』と謝罪しているが、パスワードを送信していたのは問題だ」と述べた。AppStore、Google Playのどちらでも配布されており、公式配布サイトでランキング1位になるようなアプリがマルウェアだったのは衝撃的だった。

    WiFiの不正な設定ファイルでデータ読み取りのデモンストレーション

    • 不正なWiFi構成プロファイルにより、iPhoneの通信内容を盗聴できてしまうデモンストレーション(ルックアウト・ジャパン 石谷匡弘氏)
      不正なWiFi構成プロファイルにより、iPhoneの通信内容を盗聴できてしまうデモンストレーション(ルックアウト・ジャパン 石谷匡弘氏)

     この発表会では、WiFiでiPhoneの通信内容を読み取るデモンストレーションビデオも流された。

     iPhoneでホテルのWiFiや公衆無線LANを使う時に、設定が簡単にできる設定プロファイルが配布されている場合がある。設定プロファイルを導入すれば、面倒なパスワード入力などなしでWiFiを使えるので便利だ。

     ところがこの設定プロファイルが不正なものだと、通信内容を読み取られてしまう。ルックアウト社のデモでは、不正なWiFi構成プロファイルを通じることで、iPhoneでの通信を悪意のある人物が読み取ることができていた。石谷氏は「偽のSSL証明書によってSSLの通信も読み取ることができてしまう」として警戒を呼びかけた。

     このようにiPhoneでも、不正な開発ツール・アプリ・WiFi構成プロファイルによって、情報を抜き取られる危険性がある。iOSはAndroidよりもセキュリティーが高いと言われてきたが、ここで紹介したような手口によって、情報漏えいや不正アプリによる偽広告表示などの被害が出る可能性があるので注意が必要だ。

     iPhone・iPadでの安全対策をまとめておこう(筆者によるもの)。

    ★iPhone・iPad利用での注意点

    ・iOSのバージョンを最新に保つ

     最新バージョンのiOSを入れること。通知が出たら必ずアップデートしよう。

    ・アプリの導入はAppStoreでの検索で

     メールやSNS、広告などからアプリを導入してはダメ。欲しいアプリがある場合は、AppStoreを自分で開き、アプリ名を検索すること。ダウンロード数や評価を確認してから導入する。

    ・iOS端末をJailbreak(脱獄)しない

     Appleの制限を解除する改造であるJailbreak(脱獄)をしないこと。不正アプリの被害に遭いやすくなるからだ。

    ●参考記事

    iOSアプリにウイルス:XcodeGhost問題:サイバー護身術
    iPhoneアプリ、審査なし配布が問題に:サイバー護身術

    2015年12月18日 18時32分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP

    目力アップ♪

    疲れをほぐして、イキイキと!