現在位置: ホーム / セキュリティ ブログ / XcodeGhostについて

XcodeGhostについて

OSSではありませんが、重大な問題となっているためiOSアプリのセキュリティ問題に関して触れてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

今回は、OSSではありませんが話題が大きくなっているため、iOSアプリに混入されたマルウェアのXcodeGhostについて簡単に触れてみます。

 


XcodeGhostとは

そもそもXcodeとは、iOS/OS Xアプリを開発するためのAppleオフィシャルの統合開発環境(IDE)です。

このXcodeは開発を行う際にApp Storeから無料でダウンロードしてインストールするようになっています。

このXcodeにマルウェアが混入されたバージョン(XcodeGhost)が、Baidu(中国)のクラウドファイル共有サービスにアップロードされていました。これを数名の中国の開発者がダウンロードして使用したために、その開発環境で開発したアプリケーションにマルウェアが仕込まれ、App Storeを用いて更に拡散されるという結果となりました。

拡散元が中国のBaiduであったため、特に中国の開発者が関係しているアプリケーションが感染しています。その中でも、チャットサービスとして日本でも有名なWeChatが感染していたことから、一般的に騒がれるようなニュースとなっています


XcodeGhostに感染したアプリの動作

XcodeGhostに感染したiOSアプリは、デバイス(つまりiPhone)上の情報を収集して暗号化し、インターネット上にある他のC&CサーバーにHTTPプロトコルを用いて送信します。

この収集対象となっている情報には、下記のものが含まれています。

・現在時刻
・感染しているアプリの名前
・そのアプリのbundleIdentifier
・デバイスタイプ
・デバイス(つまりiPhone)の名前
・システム言語と国の設定
・デバイスのUUID(端末固有識別子)
・ネットワークタイプ

さらに、Palo Alto Networksによると、以下のような動作が行われると確認されているようです。

・ユーザ資格情報を集めるために、偽のアラートを出す
・特定のURLを開いた際にハイジャックを行う
・ユーザのクリップボード上のデータを盗聴する。これにより、ユーザがパスワード管理ツールなどからパスワードをコピーした場合に漏洩する可能性がある。

感染が確認されているアプリ

このリンクに、記事執筆時点(2015/09/18)で感染が確認されているアプリ/バージョンが公開されています。殆どのアプリは今回のマルウェアを取り除いたバージョンがアップデートとして公開されているため、iOSアプリのアップデートを行っていれば大丈夫です。情報が公開されていないアプリに関しては、念のためアンインストールしておくか、使用をしばらく差し控えておいたほうが良いと思われます。


対応方法と今回の教訓

今回騒動になったアプリの殆どは、最新バージョンで対応しているために、アプリの情報を確認し、最新バージョンが提供されているようであれば更新しておきましょう。また、今回の問題の情報がわからないアプリに関しては、可能であれば念の為削除しておいたほうが無難と思われます。

また、今回の教訓として、iPhoneにもどんどんアプリをインストールしてしまう傾向が有りますが、本当に自分のiPhoneに、そのアプリが必要なのかどうかを、再度考えて、不要なアプリは削除しておくなどを考えるべきです。これにより、感染のリスクを減らすことが出来ます。これは昔ながらのPC/サーバ系では原則だったのですが、iPhoneも小さいPC端末ですので、同じ原則が適用されるということになります。

[参考]
Palo Alto Networks

追加情報(2015/09/24)

XCodeGhostの手法ですが、過去にCIAで行われた類似の研究と似ているという情報も上がっています。

すでにApple社により AppStore に上がっているアプリの調査が行われ、感染しているアプリケーションはダウンロードできないようになっています。

また、騒ぎが大きくなっているため、今後は類似犯やデマなども増えてくると思われます。何か情報を入手した場合には、出来る限りメーカーの発表を待つか、一時情報源を確認しましょう。


追加情報2(2015/09/24)

XCodeGhostの手法と同様の手法で、iOSやAndroid、Windowsのゲームなどのアプリ開発キットであるUnityにも「UnityGhost」とよばれるマルウェアが仕込まれていたという情報も出てきています。こちらも引き続き、注意が必要と思われます。

OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン

最新の記事
Ansibleに複数の脆弱性(CVE-2017-7466, CVE-2017-7473, CVE-2017-7481) 2017年07月24日
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - July 2017) 2017年07月21日
MySQLの脆弱性情報(Oracle Critical Patch Update Advisory Jul) 2017年07月21日
Linux Kernelの脆弱性(CVE-2017-11472, CVE-2017-11473) 2017年07月21日
wiresharkに複数の脆弱性(CVE-2017-11406, CVE-2017-11407, CVE-2017-11408, CVE-2017-11409, CVE-2017-11410, CVE-2017-11411 ) 2017年07月20日
FreeRADIUSに複数の脆弱性 ( CVE-2017-10978, CVE-2017-10979, CVE-2017-10980, CVE-2017-10981, CVE-2017-10982, CVE-2017-10983, CVE-2017-10984, CVE-2017-10985, CVE-2017-10986, CVE-2017-10987, CVE-2017-10988 ) 2017年07月18日
PHPの脆弱性( CVE-2017-11362 ) 2017年07月17日
QEMUの脆弱性( CVE-2017-11334 ) 2017年07月17日
linux kernelの脆弱性( CVE-2017-11176 ) 2017年07月16日
Apache httpd に複数の脆弱性 ( CVE-2017-9788, CVE-2017-9789 ) 2017年07月14日
Sambaに権限昇格の脆弱性(CVE-2017-11103) 2017年07月13日
PHPに複数の脆弱性(CVE-2017-11142, CVE-2017-11143, CVE-2017-11144, CVE-2017-11145, CVE-2017-11146, CVE-2017-11147, CVE-2016-10397) 2017年07月11日
QEMUの脆弱性( CVE-2017-9524 ) 2017年07月09日
Xenの脆弱性 ( XSA-216, XSA-217, XSA-218, XSA-219, XSA-220, XSA-221, XSA-222, XSA-223, XSA-224, XSA-225) 2017年07月09日
ncursesに関しての複数の脆弱性(CVE-2017-11112, CVE-2017-11113) 2017年07月09日
systemdの脆弱性( CVE-2017-1000082 ) 2017年07月09日
libgcryptの脆弱性( CVE-2017-7526 ) 2017年07月06日
linux kernelの脆弱性( CVE-2017-8797 ) 2017年07月03日
bind 9 に複数の脆弱性 ( CVE-2017-3142 , CVE-2017-3143 ) 2017年06月30日
systemd-resolvedの脆弱性(CVE-2017-9445) 2017年06月29日
最新の記事 - もっと...