先月明らかにされた「XcodeGhost」と呼ばれる巧妙なハッキング計画のために、数十の米国企業がマルウェアを仕込んだAppleのモバイルアプリを今も使い続けている。
コンピューターセキュリティ企業ファイア・アイは火曜日、210の企業が依然として感染したアプリを使用していることを検出し、XcodeGhostマルウェアが「永続的なセキュリティリスク」であることを示しているとブログ投稿で発表した。
先月、アップルのアプリケーション開発ツール「Xcode」の偽造版によって4,000以上のアプリケーションが改変されていたことが判明した。
XcodeGhostと呼ばれる悪質なバージョンは、アプリに隠しコードを追加し、デバイスの識別情報を収集したり、URLを開いたりすることができます。
主に中国を拠点とする一部のアプリケーション開発者が、Appleから直接Xcodeを入手できなかったため、不正なXcodeをダウンロードしたのではないかと推測されています。Palo Alto Networksによると、Baiduのクラウドファイル共有サービスはかつてこの不正なXcodeをホストしていましたが、後に削除されました。
XcodeGhostは、モバイルApp Storeで悪意のあるアプリが提供されないようにするためのAppleのチェックを、感染アプリが容易に回避できたため、大きな懸念材料となりました。これは、App Storeの品質を高く保ち、セキュリティリスクを低く抑えるために厳格な管理を維持してきたAppleにとって、少々恥ずかしい事態でした。
Appleは感染したアプリをApp Storeから削除し、その後、いくつかのアプリは無害なバージョンに置き換えられた。
スクリーンショット/Apple Apple の Xcode ツールは、同社のデバイス向けのアプリケーションを構築するために使用されます。
しかし、FireEyeの最新の調査結果によると、多くのユーザーがデバイス上の感染したアプリをサニタイズされたバージョンに更新していない可能性があることがわかった。
FireEyeによると、米国企業内に残っている悪意あるアプリは、依然としてXcodeGhostのコマンド&コントロールサーバーへの接続を試みているという。これらのアプリには、テンセントのメッセージングアプリ「WeChat」の旧バージョンや、音楽アプリ「Music 163」などが含まれている。
研究者らは、暗号化されていない通信は他のハッカーに乗っ取られ、他の攻撃に利用される可能性があるため、危険だと述べている。
XcodeGhost が発見されて以来、一部の企業は XcodeGhost のコマンド アンド コントロール サーバーにつながるネットワーク トラフィックと DNS クエリをブロックしています。
しかし、「これらの従業員がデバイスとアプリを更新するまで、特に企業ネットワークの外部にいる場合、XcodeGhost CnCトラフィックのハイジャックの危険性が依然として残る」とFireEyeは述べている。
そのデータトラフィックを乗っ取ると、攻撃者は機密データを要求する予期しないポップアップウィンドウを表示したり、モバイルデバイスを特定の URL に強制的にアクセスさせたり、Apple ストアにないアプリを配布したりできる可能性があります。
少々意外なことに、FireEyeの調査によると、依然として影響を受けているAppleモバイルデバイスの70%がiOS 9(推奨)へのアップグレードを行っていないことが判明しました。また、ユーザーはすべてのアプリを最新の状態に保つことで、感染したアプリをデバイスから排除できるはずです。
XcodeGhost を作成した人物は、iOS 9 をターゲットにできる XcodeGhost S と呼ばれる新しいバージョンも開発したと FireEye は書いている。
このアップデートは、AppleがiOS 9に組み込んだ、他のサーバーとのほとんどの接続を暗号化するための防御策を回避することを意図しているようだ。また、通信先のコマンド&コントロールサーバーの静的検出を回避しようとする手法も利用していると、FireEyeは述べている。
Appleは、XcodeGhost S(大まかに訳すと「自由国家」)に感染したアプリを1つ削除した。FireEyeによると、これは旅行者向けのショッピングアプリで、米国と中国のApple App Storeで提供されていたという。
