XcodeGhostについて — | サイオスOSS | サイオステクノロジー

XcodeGhostについて
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
今回は、OSSではありませんが話題が大きくなっているため、iOSアプリに混入されたマルウェアのXcodeGhostについて簡単に触れてみます。
XcodeGhostとは
そもそもXcodeとは、iOS/OS Xアプリを開発するためのAppleオフィシャルの統合開発環境(IDE)です。
このXcodeは開発を行う際にApp Storeから無料でダウンロードしてインストールするようになっています。
このXcodeにマルウェアが混入されたバージョン(XcodeGhost)が、Baidu(中国)のクラウドファイル共有サービスにアップロードされていました。これを数名の中国の開発者がダウンロードして使用したために、その開発環境で開発したアプリケーションにマルウェアが仕込まれ、App Storeを用いて更に拡散されるという結果となりました。
拡散元が中国のBaiduであったため、特に中国の開発者が関係しているアプリケーションが感染しています。その中でも、チャットサービスとして日本でも有名なWeChatが感染していたことから、一般的に騒がれるようなニュースとなっています
XcodeGhostに感染したアプリの動作
XcodeGhostに感染したiOSアプリは、デバイス(つまりiPhone)上の情報を収集して暗号化し、インターネット上にある他のC&CサーバーにHTTPプロトコルを用いて送信します。
この収集対象となっている情報には、下記のものが含まれています。
・現在時刻 ・感染しているアプリの名前 ・そのアプリのbundleIdentifier ・デバイスタイプ ・デバイス(つまりiPhone)の名前 ・システム言語と国の設定 ・デバイスのUUID(端末固有識別子) ・ネットワークタイプ
さらに、Palo Alto Networksによると、以下のような動作が行われると確認されているようです。
・ユーザ資格情報を集めるために、偽のアラートを出す ・特定のURLを開いた際にハイジャックを行う ・ユーザのクリップボード上のデータを盗聴する。これにより、ユーザがパスワード管理ツールなどからパスワードをコピーした場合に漏洩する可能性がある。
感染が確認されているアプリ
このリンクに、記事執筆時点(2015/09/18)で感染が確認されているアプリ/バージョンが公開されています。殆どのアプリは今回のマルウェアを取り除いたバージョンがアップデートとして公開されているため、iOSアプリのアップデートを行っていれば大丈夫です。情報が公開されていないアプリに関しては、念のためアンインストールしておくか、使用をしばらく差し控えておいたほうが良いと思われます。
対応方法と今回の教訓
今回騒動になったアプリの殆どは、最新バージョンで対応しているために、アプリの情報を確認し、最新バージョンが提供されているようであれば更新しておきましょう。また、今回の問題の情報がわからないアプリに関しては、可能であれば念の為削除しておいたほうが無難と思われます。
また、今回の教訓として、iPhoneにもどんどんアプリをインストールしてしまう傾向が有りますが、本当に自分のiPhoneに、そのアプリが必要なのかどうかを、再度考えて、不要なアプリは削除しておくなどを考えるべきです。これにより、感染のリスクを減らすことが出来ます。これは昔ながらのPC/サーバ系では原則だったのですが、iPhoneも小さいPC端末ですので、同じ原則が適用されるということになります。
Palo Alto Networks
追加情報(2015/09/24)
XCodeGhostの手法ですが、過去にCIAで行われた類似の研究と似ているという情報も上がっています。
すでにApple社により AppStore に上がっているアプリの調査が行われ、感染しているアプリケーションはダウンロードできないようになっています。
また、騒ぎが大きくなっているため、今後は類似犯やデマなども増えてくると思われます。何か情報を入手した場合には、出来る限りメーカーの発表を待つか、一時情報源を確認しましょう。
追加情報2(2015/09/24)
XCodeGhostの手法と同様の手法で、iOSやAndroid、Windowsのゲームなどのアプリ開発キットであるUnityにも「UnityGhost」とよばれるマルウェアが仕込まれていたという情報も出てきています。こちらも引き続き、注意が必要と思われます。
- セキュリティ分野別一覧
- 最新の記事
- Linux Kernel 等の脆弱性(CVE-2018-8897, CVE-2018-1087) 2018年05月09日
- 389-ds-baseの脆弱性(CVE-2018-1089) 2018年05月09日
- wgetの脆弱性(CVE-2018-0494) 2018年05月07日
- Ansible Towerの脆弱性(CVE-2018-1101) 2018年05月03日
- python-paramikoの脆弱性(CVE-2018-7750) 2018年05月03日
- OpenShiftの脆弱性(CVE-2018-1102) 2018年05月02日
- PHPの複数の脆弱性(CVE-2018-10546, CVE-2018-10547, CVE-2018-10548, CVE-2018-10549) 2018年05月02日
- Linux Kernelの脆弱性(CVE-2018-1000199) 2018年05月02日
- GlusterFSサーバの脆弱性(CVE-2018-1112) 2018年04月27日
- nmapの脆弱性(CVE-2018-1000161) 2018年04月25日
- PackageKitの脆弱性(CVE-2018-1106) 2018年04月25日
- phpMyAdminの脆弱性(CVE-2018-10188) 2018年04月25日
- Linux Kernelに複数の脆弱性(CVE-2018-10322, CVE-2018-10323) 2018年04月25日
- Linux Kernelの脆弱性(CVE-2018-8781) 2018年04月25日
- GlusterFSの脆弱性(CVE-2018-1088) 2018年04月19日
- MySQLの脆弱性(Oracle Critical Patch Update Advisory - Apr 2018) 2018年04月19日
- Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Apr 2018) 2018年04月18日
- Linux Kernelの脆弱性 (CVE-2018-10124) 2018年04月17日
- OpenSSLの脆弱性情報 ( CVE-2018-0737 : Low) 2018年04月17日
- GNU Patchの脆弱性(CVE-2018-1000156) 2018年04月08日
フォローしませんか?