AppleはiOSおよびMac OSXコンピュータへのマルウェアの脅威に対処するため迅速に行動し、木曜日にWireLurker悪意あるコードに感染したアプリの実行をブロックしたと発表した。
前日、セキュリティベンダーのパロアルトネットワークスは、ハッカーが中国のマーケットプレイスからダウンロードした感染したデスクトップアプリケーションを通じてAppleデバイスにマルウェアを転送するキャンペーンを明らかにした。
この攻撃は、ジェイルブレイクされていない、つまり、徹底的に審査されたAppストア以外からのアプリのダウンロードを禁止する制限を解除するように改変されていないiOSデバイスを侵害したという点で、新しいものだった。
中国ユーザー向けのアプリストア「Maiyadi」で、約467個のMacデスクトップアプリケーションがWireLurkerに感染していることが判明しました。このマルウェアは、iOSデバイスがUSB経由でデスクトップに接続されるまで待機し、2つの方法のいずれかを用いてモバイルデバイスに感染します。感染後、WireLurkerは通話履歴などのデータをデバイスから盗み出します。
アップルは攻撃を阻止するために具体的にどのような措置を講じたかは明らかにしなかったが、「中国のユーザーを対象としたダウンロードサイトから悪質なソフトウェアが入手できることを認識しており、特定されたアプリが起動しないようにブロックした」と述べた。
同社は、信頼できるソースからのみソフトウェアをダウンロードするという長年のアドバイスを改めて強調した。
Apple によれば、iOS デバイスでマルウェアを回避する最善の方法は、公式 App Store からのみアプリをロードすることだという。
モバイルセキュリティ企業Marble Securityの創業者兼CTOのデイブ・ジェバンス氏は、AppleにはWireLurkerを阻止するためのいくつかの選択肢があったと語った。
デバイスへの感染方法の一つは、エンタープライズ・プロビジョニング証明書の利用です。これは、App Storeに掲載されない社内向けアプリを開発する開発者が使用するものです。この証明書は、これらのアプリをiOS上で実行することを可能にするものであり、悪意のあるハッカーの手に渡ると、感染したアプリの拡散に利用される可能性があります。ジェバンズ氏によると、AppleはWireLurkerの作成者が使用した証明書を失効させました。
これにより、ジェイルブレイクされていない携帯電話が感染したアプリを実行するのを防ぐことはできるが、すでに感染しているデバイスを使用している人には役に立たない可能性があると同氏は述べた。
AppleはSafariをアップデートしてMaiyadiのウェブサイトへのアクセスをブロックすることもできるが、Chromeなどのブラウザを使えばアクセスできる。また、XProtectアンチウイルスエンジンにWireLurkerのインストールをブロックするシグネチャを追加することもできるとジェバンズ氏は述べた。
