サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

XcodeGhostで開発されたアプリからiOSのマルウェアが見つかる!



先日、App Storeにてマルウェアが混入したアプリが発見されました。Appleはすぐさま対策をし、大事には至ったという報告はありませんが、安全だと思っていたApp Storeにマルウェアが混入したという事実は、すぐさま広がりを見せました。

マルウェアに感染したアプリは有名アプリだけでも25本

mapApp Storeにて配信されていた感染アプリの数は有名なアプリだけでも25本。そのどれもが人気が高く、影響も大きいとされるアプリだったので、この情報が広がりが早かったのかなとも思います。

公表されたアプリはWeChat、DiDITAXI、ChinaUnicomという中国で人気を集めるアプリ、日本ではアングリーバード2や、ONE PIECEの中国版公式アプリも感染していました。中国のアプリが多いですが、中国以外から配信されているアプリもあり、全てが中国製という印象ではないのが特徴です。数億人のユーザーが影響を受けたとも言われており、中国のセキュリティ企業Qihoo360は1000を超えるアプリの感染を指摘しています。

今回は主に中国から発生した事例で、中国では非常に強い影響を及ぼしました。ただ、不正ツールの使用は中国だけに限った話ではなく、日本も同様に若干の影響を受けています。

原因は?

今回の原因は改ざんされた開発ツール「XcodeGhost」が出回ったことです。

また、この問題の発端はAppleのアプリ開発ツール「Xcode」を改ざんした不正ツールが中国で出回ったことが影響しています。このツールは「XcodeGhost」と呼ばれ、このツールを使って開発したiOSアプリに悪質なコードを混入、悪質なコードによって端末情報、ユーザー情報、リモート・コントロールなどの機能が実装され、容易に情報を盗み出せるようになっていたのです。

中国国内では米国サイトのXcodeをダウンロードすることが非常に難しく、非公式な手段によってXcodeが出回っていました。その一つがXcodeGhostだったのです。この問題を受け、中国の開発者は正規版のXcodeを入手しやすいように改善に努めています。

ウォールド・ガーデンと言えども注意が必要

iOS端末向けアプリストア「App Store」は公開前にアプリを審査する、ウォールド・ガーデンと呼ばれる安全な領域だと信じられていました。しかし、今回のXcodeGhostと名付けられた不正ツールが出回ったことにより、App Store上の正規アプリでマルウェア感染したことでApp Storeの安全性が揺らぎ始めました。

Apple正規サイト以外から入手したXcodeのコピーはすでに大量に出回っています。また、そのツールを使って開発を続けている方がいるかもしれません。こうなるとマルウェア感染したアプリが他にも確認される可能性があります。

また、XcodeだけでなくUnityGhostと呼ばれる不正ツールによってマルウェア感染してしまうことも分かりました。Unityライブラリは2D、3Dゲームを複数のプラットフォームで作成するためのサードパーティ開発プラットフォーム。

つまりUnityはiOS端末だけでなく、Android、Windows、Mac OS Xでも利用することができ、非常に幅広いのです。さらに、PlayStation、Xboxといったゲーム機もUnityが使われている可能性があります。ゲームでさえもネットワークに接続するような時代になったので、例えゲーム機といえども油断することはできないでしょう。

インストールするアプリに気を付けよう

スマートフォンは小さなパソコンと言われるようにデータの宝庫です。ひとたび情報が漏れてしまえば、大きな危険に晒されることになってしまうでしょう。

今回の件では、正規アプリも感染していた、今までは安全と思われていたiOS端末でもマルウェア感染が起こったということで、より安全に関しての意識を高めていかなければならない事例になりました。例えランキングに載るようなアプリであっても開発元に十分に配慮し、使っていく必要があるでしょう。

企業向けインフラエンジニア講座 個人向けエンジニア研修




書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。