こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

今回は、OSSではありませんが話題が大きくなっているため、iOSアプリに混入されたマルウェアのXcodeGhostについて簡単に触れてみます。

そもそもXcodeとは、iOS/OS Xアプリを開発するためのAppleオフィシャルの統合開発環境(IDE)です。

このXcodeは開発を行う際にApp Storeから無料でダウンロードしてインストールするようになっています。

このXcodeにマルウェアが混入されたバージョン(XcodeGhost)が、Baidu(中国)のクラウドファイル共有サービスにアップロードされていました。これを数名の中国の開発者がダウンロードして使用したために、その開発環境で開発したアプリケーションにマルウェアが仕込まれ、App Storeを用いて更に拡散されるという結果となりました。

拡散元が中国のBaiduであったため、特に中国の開発者が関係しているアプリケーションが感染しています。その中でも、チャットサービスとして日本でも有名なWeChatが感染していたことから、一般的に騒がれるようなニュースとなっています

XcodeGhostに感染したiOSアプリは、デバイス（つまりiPhone）上の情報を収集して暗号化し、インターネット上にある他のC&CサーバーにHTTPプロトコルを用いて送信します。

この収集対象となっている情報には、下記のものが含まれています。

・現在時刻
・感染しているアプリの名前
・そのアプリのbundleIdentifier
・デバイスタイプ
・デバイス(つまりiPhone)の名前
・システム言語と国の設定
・デバイスのUUID(端末固有識別子)
・ネットワークタイプ

さらに、Palo Alto Networksによると、以下のような動作が行われると確認されているようです。

・ユーザ資格情報を集めるために、偽のアラートを出す
・特定のURLを開いた際にハイジャックを行う
・ユーザのクリップボード上のデータを盗聴する。これにより、ユーザがパスワード管理ツールなどからパスワードをコピーした場合に漏洩する可能性がある。

このリンクに、記事執筆時点(2015/09/18)で感染が確認されているアプリ/バージョンが公開されています。殆どのアプリは今回のマルウェアを取り除いたバージョンがアップデートとして公開されているため、iOSアプリのアップデートを行っていれば大丈夫です。情報が公開されていないアプリに関しては、念のためアンインストールしておくか、使用をしばらく差し控えておいたほうが良いと思われます。

今回騒動になったアプリの殆どは、最新バージョンで対応しているために、アプリの情報を確認し、最新バージョンが提供されているようであれば更新しておきましょう。また、今回の問題の情報がわからないアプリに関しては、可能であれば念の為削除しておいたほうが無難と思われます。

また、今回の教訓として、iPhoneにもどんどんアプリをインストールしてしまう傾向が有りますが、本当に自分のiPhoneに、そのアプリが必要なのかどうかを、再度考えて、不要なアプリは削除しておくなどを考えるべきです。これにより、感染のリスクを減らすことが出来ます。これは昔ながらのPC/サーバ系では原則だったのですが、iPhoneも小さいPC端末ですので、同じ原則が適用されるということになります。

XCodeGhostの手法ですが、過去にCIAで行われた類似の研究と似ているという情報も上がっています。

すでにApple社により　AppStore に上がっているアプリの調査が行われ、感染しているアプリケーションはダウンロードできないようになっています。

また、騒ぎが大きくなっているため、今後は類似犯やデマなども増えてくると思われます。何か情報を入手した場合には、出来る限りメーカーの発表を待つか、一時情報源を確認しましょう。

XCodeGhostの手法と同様の手法で、iOSやAndroid、Windowsのゲームなどのアプリ開発キットであるUnityにも「UnityGhost」とよばれるマルウェアが仕込まれていたという情報も出てきています。こちらも引き続き、注意が必要と思われます。