脱獄なんかしない!それでも危険?iOSデバイスへの脅威最新事情

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

脱獄なんかしない!それでも危険?iOSデバイスへの脅威最新事情

2015/10/20


 「iOS端末ならウイルスもないし、不注意による情報漏洩にだけ気をつけていればいい」と考える人は多い。これは間違いではあるが、実際のところ、その認識でまず問題はなかった。App Storeに並ぶアプリはアップルの審査を経ており、安心感があったからだ。

 ところが、その“常識”を捨てる時が来た。悪意をもつ人間はiOSの“閉じた”世界をこじ開けるべく、わずかな隙間から攻撃をぐいぐいと押し込んでくる。App Storeに「ウイルス入り」アプリが大量に出回っていたことも発覚した。今回は、昨今ビジネス界でも導入が広がるiOSのセキュリティの現状について紹介しよう。

iPad

脱獄iOSでなくても不正アプリが導入される事態が発生

 iPadでちょっとアダルトなWebサイトを探検中。少し気になる動画のPlayボタンをタップすると「playMovieがインストールされます」とのメッセージが表示された。専用プレイヤーかと思って「インストール」をタップすると、今度は「信頼されていないAppデベロッパ」というメッセージと、「デベロッパ◯◯◯を信頼してこのiPadでAppを実行しますか?」という表示が…。ここまで来て後戻りできるものか、「信頼」ボタンをタップだ!

 このストーリーは、2015年5月に国内で初めて発見されたiOS向けの詐欺アプリがインストールされるまでの実際の流れを基にした。一連の操作により、ユーザのiPadには攻撃者のサーバから詐欺アプリがダウンロードされ、インストールされる。そのアプリを起動してしまえば、あとはお決まりの架空請求の流れとなる。もっとも、このような架空請求自体は放っておけばよい。

 このケースで怖いのは、何も不正な改造を行っていない端末に詐欺アプリがインストールされてしまうことだ。これまでにもiOS端末に感染するウイルスや不正アプリは見つかっていたが、それらは「脱獄(jailbreak)」と呼ばれる不正改造を行った端末だけの問題だった。ところが今回は脱獄を行っていない端末に不正アプリがインストールされてしまったのだ。その仕組みは図1 のような流れになっている。

図1 脱獄していないiOS端末に詐欺アプリがインストールされた仕組み
図1 脱獄していないiOS端末に詐欺アプリがインストールされた仕組み
資料提供:トレンドマイクロ株式会社

 発端は、攻撃者がiDEP(iOS Developer Enterprise Program)と呼ばれる企業内アプリ配布用のライセンスを何らかの方法で入手したことだ。本来、このライセンスは自前のWebサーバに自社製アプリを置き、そこにアクセスできるユーザだけにアプリをインストールさせるためのもの。これがセキュリティの隙間になってしまった。

 このような手口のほかにも、iOS端末を攻撃する手口はいくつかある。つい最近では、Appストアに不正アプリが多数公開される事件が起きたばかりだ。以下では、その事件も含め、これまで発見されている手口を紹介しながら、企業や個人がとるべき対策について考えてみよう。


1

iOSデバイスの不正アプリ対策

 Android端末を狙う不正アプリが700万種を優に超えると言われるなか、iOS端末を対象とする不正アプリは数十から数百とも言われるようにずっと少ない。しかもその大半はApp Store以外から配布されるものだ。アップルでは、不正あるいは粗悪なアプリが流通しないように、有償、無償を問わず、全ての一般公開アプリを厳しく審査し、合格したものだけを、同社の公式アプリマーケットであるApp Storeから配布できるようにしている。この仕組みは、不正アプリが蔓延しない重要な予防対策になっている。

 しかし、それでも審査の網を通り抜ける不正アプリが時にはある。また、アップルの審査を通さずにアプリを流通させるモグリのアプリマーケットも存在する(こちらの利用には端末の「脱獄」が必要)。それに加えて、上述のように脱獄をしていない端末にもApp Storeを通さずに不正アプリをインストールさせる手口も出てきた。これまでどのような手口が発見されているのかを表1に示す。

表1 iOS対象の不正アプリの歴史
表1 iOS対象の不正アプリの歴史
資料提供:トレンドマイクロ株式会社

 この表に見られるように、不正アプリの侵入にはいくつかのパターンがある。以下に対策を含めて解説していこう。

1-1

Appストアに不正アプリが混入する事件

 2015年9月、App Storeに多数の不正アプリが公開された事件があった。発表された不正アプリの数は当初は39本、一部報道によれば数百本あるとも言われたが実際は不明だ。攻撃者はiOSのアプリ開発環境「Xcode」を改ざんし、それを使った第三者(正当なアプリ登録権限をもつ開発者)が作成したアプリにマルウェアを仕込む機能を忍ばせていた。この結果、生まれたマルウェアは「XcodeGhost」と呼ばれている。

 この改ざんXcode配布の舞台になったのは中国。通信環境に問題がある中国では、Apple公式サイトからのダウンロードに時間がかかるため、ユーザが勝手に地域のミラーサイトを立ち上げてソフトウェア配布に利用するケースがあるという。そうしたApple非公認のサイトに改ざんXcodeも公開されていたのだ。

 アップルは改ざんXcodeで開発されたと見られるアプリを既にApp Storeから削除している。そもそも中国語版のアプリなので国内での被害報告は聞かれないが、App Storeにあるアプリの全てが安全というわけではないことを広く知らしめる結果になった。

 表1 に見るようにApp Storeに不正アプリが登録されるケースはこれまでにもいくつかあった。人気アプリをコピーした偽アプリも登場している。アップルの審査を過信せず、不用意なインストールをしない対応が求められる。

セキュリティ情報局にご登録頂いた方限定で「脱獄なんかしない!それでも危険?iOSデバイスへの脅威最新事情」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

iPad/脱獄なんかしない!それでも危険?iOSデバイスへの脅威最新事情」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「iPad」関連情報をランダムに表示しています。

iPad」関連の製品

Magic xpa Application Platform 【マジックソフトウェア・ジャパン】 Apple製品 トータルサポートサービス 【ウチダエスコ】 InterSafe MobileSecurity 【アルプス システム インテグレーション】
開発環境/BaaS タブレット フィルタリング
クライアント/サーバ、Web、RIA、iOS/Androidなど様々な形態やデバイスのアプリケーションをワンソース・マルチユースで統合開発・実行できるプラットフォーム。 Apple製品の正式代理店として認可を受けているウチダエスコによる、エンタープライズ環境も視野に入れたAppleのサーバー、端末などの導入全般をサポートするサービス。 Web閲覧やアプリ利用、社内アクセスまで一括制御できる、専用アプリ不要のスマートデバイス向け統合セキュリティサービス。Safariがそのまま使え既存システムに影響なし。

iPad」関連の特集


前回は棺について考察しました。今まで棺については、残された方々があまりにも時間が無い中で、決めざ…



クライアント端末市場は拡大し、主役はスマートフォンですが企業活用はなかなか浸透していません。今後の活…



昨夏より日本でも販売されるChromebook。米国では教育現場をはじめ法人市場での導入が進んでいる…


iPad」関連のセミナー

iPad を利用した業務アプリ作成体験セミナー 【ファイルメーカー】  

開催日 11月24日(金)   開催地 大阪府   参加費 無料

講座の目的 FileMaker プラットフォームを用いての、iPad 向け業務システム作成をハンズオンで体験受講対象者iPad でビジネスソリューションを構築・…

ファイルメーカー カンファレンス 2017 【ファイルメーカー】  

開催日 10月23日(月)〜10月25日(水)   開催地 神奈川県   参加費 無料

FileMaker カンファレンスとは、ビジネスを大きく変える カスタム App を開発・活用するためのヒントやベストプラクティス、テクニックが集結する年に一度…

iOSコンソーシアム関西支部 第8回セミナー 【一般社団法人iOSコンソーシアム】  

開催日 10月26日(木)   開催地 大阪府   参加費 無料

近年、日本国内では法人向けにiPhone,iPadなどのスマートフォン、タブレットの導入が急速に普及する中で、一般社団法人iOSコンソーシアムでは、法人ユーザー…

「スマートデバイス」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007984


IT・IT製品TOP > スマートデバイス > タブレット > タブレットのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ