脱獄なんかしない!それでも危険?iOSデバイスへの脅威最新事情

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

脱獄なんかしない!それでも危険?iOSデバイスへの脅威最新事情

2015/10/20


 「iOS端末ならウイルスもないし、不注意による情報漏洩にだけ気をつけていればいい」と考える人は多い。これは間違いではあるが、実際のところ、その認識でまず問題はなかった。App Storeに並ぶアプリはアップルの審査を経ており、安心感があったからだ。

 ところが、その“常識”を捨てる時が来た。悪意をもつ人間はiOSの“閉じた”世界をこじ開けるべく、わずかな隙間から攻撃をぐいぐいと押し込んでくる。App Storeに「ウイルス入り」アプリが大量に出回っていたことも発覚した。今回は、昨今ビジネス界でも導入が広がるiOSのセキュリティの現状について紹介しよう。

iPad

脱獄iOSでなくても不正アプリが導入される事態が発生

 iPadでちょっとアダルトなWebサイトを探検中。少し気になる動画のPlayボタンをタップすると「playMovieがインストールされます」とのメッセージが表示された。専用プレイヤーかと思って「インストール」をタップすると、今度は「信頼されていないAppデベロッパ」というメッセージと、「デベロッパ◯◯◯を信頼してこのiPadでAppを実行しますか?」という表示が…。ここまで来て後戻りできるものか、「信頼」ボタンをタップだ!

 このストーリーは、2015年5月に国内で初めて発見されたiOS向けの詐欺アプリがインストールされるまでの実際の流れを基にした。一連の操作により、ユーザのiPadには攻撃者のサーバから詐欺アプリがダウンロードされ、インストールされる。そのアプリを起動してしまえば、あとはお決まりの架空請求の流れとなる。もっとも、このような架空請求自体は放っておけばよい。

 このケースで怖いのは、何も不正な改造を行っていない端末に詐欺アプリがインストールされてしまうことだ。これまでにもiOS端末に感染するウイルスや不正アプリは見つかっていたが、それらは「脱獄(jailbreak)」と呼ばれる不正改造を行った端末だけの問題だった。ところが今回は脱獄を行っていない端末に不正アプリがインストールされてしまったのだ。その仕組みは図1 のような流れになっている。

図1 脱獄していないiOS端末に詐欺アプリがインストールされた仕組み
図1 脱獄していないiOS端末に詐欺アプリがインストールされた仕組み
資料提供:トレンドマイクロ株式会社

 発端は、攻撃者がiDEP(iOS Developer Enterprise Program)と呼ばれる企業内アプリ配布用のライセンスを何らかの方法で入手したことだ。本来、このライセンスは自前のWebサーバに自社製アプリを置き、そこにアクセスできるユーザだけにアプリをインストールさせるためのもの。これがセキュリティの隙間になってしまった。

 このような手口のほかにも、iOS端末を攻撃する手口はいくつかある。つい最近では、Appストアに不正アプリが多数公開される事件が起きたばかりだ。以下では、その事件も含め、これまで発見されている手口を紹介しながら、企業や個人がとるべき対策について考えてみよう。


1

iOSデバイスの不正アプリ対策

 Android端末を狙う不正アプリが700万種を優に超えると言われるなか、iOS端末を対象とする不正アプリは数十から数百とも言われるようにずっと少ない。しかもその大半はApp Store以外から配布されるものだ。アップルでは、不正あるいは粗悪なアプリが流通しないように、有償、無償を問わず、全ての一般公開アプリを厳しく審査し、合格したものだけを、同社の公式アプリマーケットであるApp Storeから配布できるようにしている。この仕組みは、不正アプリが蔓延しない重要な予防対策になっている。

 しかし、それでも審査の網を通り抜ける不正アプリが時にはある。また、アップルの審査を通さずにアプリを流通させるモグリのアプリマーケットも存在する(こちらの利用には端末の「脱獄」が必要)。それに加えて、上述のように脱獄をしていない端末にもApp Storeを通さずに不正アプリをインストールさせる手口も出てきた。これまでどのような手口が発見されているのかを表1に示す。

表1 iOS対象の不正アプリの歴史
表1 iOS対象の不正アプリの歴史
資料提供:トレンドマイクロ株式会社

 この表に見られるように、不正アプリの侵入にはいくつかのパターンがある。以下に対策を含めて解説していこう。

1-1

Appストアに不正アプリが混入する事件

 2015年9月、App Storeに多数の不正アプリが公開された事件があった。発表された不正アプリの数は当初は39本、一部報道によれば数百本あるとも言われたが実際は不明だ。攻撃者はiOSのアプリ開発環境「Xcode」を改ざんし、それを使った第三者(正当なアプリ登録権限をもつ開発者)が作成したアプリにマルウェアを仕込む機能を忍ばせていた。この結果、生まれたマルウェアは「XcodeGhost」と呼ばれている。

 この改ざんXcode配布の舞台になったのは中国。通信環境に問題がある中国では、Apple公式サイトからのダウンロードに時間がかかるため、ユーザが勝手に地域のミラーサイトを立ち上げてソフトウェア配布に利用するケースがあるという。そうしたApple非公認のサイトに改ざんXcodeも公開されていたのだ。

 アップルは改ざんXcodeで開発されたと見られるアプリを既にApp Storeから削除している。そもそも中国語版のアプリなので国内での被害報告は聞かれないが、App Storeにあるアプリの全てが安全というわけではないことを広く知らしめる結果になった。

 表1 に見るようにApp Storeに不正アプリが登録されるケースはこれまでにもいくつかあった。人気アプリをコピーした偽アプリも登場している。アップルの審査を過信せず、不用意なインストールをしない対応が求められる。

セキュリティ情報局にご登録頂いた方限定で「脱獄なんかしない!それでも危険?iOSデバイスへの脅威最新事情」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

iPad/脱獄なんかしない!それでも危険?iOSデバイスへの脅威最新事情」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「iPad」関連情報をランダムに表示しています。

iPad」関連の製品

MajorFlowクラウド 【パナソニック ネットソリューションズ】 脱ExcelやiPad対応、事例で分かる業務アプリ開発の4大課題解決法 【セールスフォース・ドットコム】 電子印鑑対応 ワークフローシステム DocGear 【シヤチハタ】
グループウェア 開発環境/BaaS ワークフロー
会計ソフトやグループウェアと連携して、経費精算や出退勤打刻の機能を提供。経理や人事の作業負担軽減を実現しつつ、現場社員や経営層にも役立つ機能も搭載。 脱ExcelやiPad対応、事例で分かる業務アプリ開発の「4大課題」解決法 承認フローを電子化し、業務を効率化するワークフローシステム。文書管理も行え、承認ファイルの所在・進捗の把握も簡単に。スマホ・タブレット対応で迅速な承認が可能。

iPad」関連の特集


 突然ですが、私は「ソーシャルおじさん」というもう1つの名前を持っており、FacebookやTwit…



企業のIT担当者592人対象に「無線LANの導入状況」を調査。導入の有無、導入規模、セキュリティ対策…



 日本の伝統芸能である「能楽」。歌舞伎や人形浄瑠璃文楽などとともに、ユネスコの無形文化遺産に選ばれる…


iPad」関連のセミナー

iOSを利用した業務システム アプリ作成体験セミナー 【ファイルメーカー】 締切間近 

開催日 11月19日(土),11月25日(金),12月16日(金)   開催地 東京都   参加費 無料

FileMaker Go は App Store から無料でダウンロードでき、カスタム App を iPad と iPhone 上で実行できます。FileMak…

Apple Configurator 2の新機能&Mac個別設定支援ツールのご紹介 【三谷商事】 締切間近 

開催日 12月14日(水)   開催地 オンラインセミナー   参加費 無料

2016年9月にバージョン2.3がリリースされるなど、様々な新機能が追加されたApple Configurator 2の有効活用法や、弊社が独自に開発したMac…

これから始める方へ 〜 体験しよう FileMaker 15 【ファイルメーカー】 締切間近 

開催日 10月19日(水),11月2日(水),11月16日(水),11月30日(水),12月14日(水)   開催地 オンラインセミナー   参加費 無料

このWebセミナーでは、職場にある多くの紙や表計算ソフトウェアで管理されているデータを、ドラッグ&ドロップでファイル変換するだけで、チームで共有できるようになっ…

「スマートデバイス」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007984


IT・IT製品TOP > スマートデバイス > タブレット > タブレットのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ