脱獄なんかしない!それでも危険?iOSデバイスへの脅威最新事情

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

脱獄なんかしない!それでも危険?iOSデバイスへの脅威最新事情

2015/10/20


 「iOS端末ならウイルスもないし、不注意による情報漏洩にだけ気をつけていればいい」と考える人は多い。これは間違いではあるが、実際のところ、その認識でまず問題はなかった。App Storeに並ぶアプリはアップルの審査を経ており、安心感があったからだ。

 ところが、その“常識”を捨てる時が来た。悪意をもつ人間はiOSの“閉じた”世界をこじ開けるべく、わずかな隙間から攻撃をぐいぐいと押し込んでくる。App Storeに「ウイルス入り」アプリが大量に出回っていたことも発覚した。今回は、昨今ビジネス界でも導入が広がるiOSのセキュリティの現状について紹介しよう。

iPad

脱獄iOSでなくても不正アプリが導入される事態が発生

 iPadでちょっとアダルトなWebサイトを探検中。少し気になる動画のPlayボタンをタップすると「playMovieがインストールされます」とのメッセージが表示された。専用プレイヤーかと思って「インストール」をタップすると、今度は「信頼されていないAppデベロッパ」というメッセージと、「デベロッパ◯◯◯を信頼してこのiPadでAppを実行しますか?」という表示が…。ここまで来て後戻りできるものか、「信頼」ボタンをタップだ!

 このストーリーは、2015年5月に国内で初めて発見されたiOS向けの詐欺アプリがインストールされるまでの実際の流れを基にした。一連の操作により、ユーザのiPadには攻撃者のサーバから詐欺アプリがダウンロードされ、インストールされる。そのアプリを起動してしまえば、あとはお決まりの架空請求の流れとなる。もっとも、このような架空請求自体は放っておけばよい。

 このケースで怖いのは、何も不正な改造を行っていない端末に詐欺アプリがインストールされてしまうことだ。これまでにもiOS端末に感染するウイルスや不正アプリは見つかっていたが、それらは「脱獄(jailbreak)」と呼ばれる不正改造を行った端末だけの問題だった。ところが今回は脱獄を行っていない端末に不正アプリがインストールされてしまったのだ。その仕組みは図1 のような流れになっている。

図1 脱獄していないiOS端末に詐欺アプリがインストールされた仕組み
図1 脱獄していないiOS端末に詐欺アプリがインストールされた仕組み
資料提供:トレンドマイクロ株式会社

 発端は、攻撃者がiDEP(iOS Developer Enterprise Program)と呼ばれる企業内アプリ配布用のライセンスを何らかの方法で入手したことだ。本来、このライセンスは自前のWebサーバに自社製アプリを置き、そこにアクセスできるユーザだけにアプリをインストールさせるためのもの。これがセキュリティの隙間になってしまった。

 このような手口のほかにも、iOS端末を攻撃する手口はいくつかある。つい最近では、Appストアに不正アプリが多数公開される事件が起きたばかりだ。以下では、その事件も含め、これまで発見されている手口を紹介しながら、企業や個人がとるべき対策について考えてみよう。


1

iOSデバイスの不正アプリ対策

 Android端末を狙う不正アプリが700万種を優に超えると言われるなか、iOS端末を対象とする不正アプリは数十から数百とも言われるようにずっと少ない。しかもその大半はApp Store以外から配布されるものだ。アップルでは、不正あるいは粗悪なアプリが流通しないように、有償、無償を問わず、全ての一般公開アプリを厳しく審査し、合格したものだけを、同社の公式アプリマーケットであるApp Storeから配布できるようにしている。この仕組みは、不正アプリが蔓延しない重要な予防対策になっている。

 しかし、それでも審査の網を通り抜ける不正アプリが時にはある。また、アップルの審査を通さずにアプリを流通させるモグリのアプリマーケットも存在する(こちらの利用には端末の「脱獄」が必要)。それに加えて、上述のように脱獄をしていない端末にもApp Storeを通さずに不正アプリをインストールさせる手口も出てきた。これまでどのような手口が発見されているのかを表1に示す。

表1 iOS対象の不正アプリの歴史
表1 iOS対象の不正アプリの歴史
資料提供:トレンドマイクロ株式会社

 この表に見られるように、不正アプリの侵入にはいくつかのパターンがある。以下に対策を含めて解説していこう。

1-1

Appストアに不正アプリが混入する事件

 2015年9月、App Storeに多数の不正アプリが公開された事件があった。発表された不正アプリの数は当初は39本、一部報道によれば数百本あるとも言われたが実際は不明だ。攻撃者はiOSのアプリ開発環境「Xcode」を改ざんし、それを使った第三者(正当なアプリ登録権限をもつ開発者)が作成したアプリにマルウェアを仕込む機能を忍ばせていた。この結果、生まれたマルウェアは「XcodeGhost」と呼ばれている。

 この改ざんXcode配布の舞台になったのは中国。通信環境に問題がある中国では、Apple公式サイトからのダウンロードに時間がかかるため、ユーザが勝手に地域のミラーサイトを立ち上げてソフトウェア配布に利用するケースがあるという。そうしたApple非公認のサイトに改ざんXcodeも公開されていたのだ。

 アップルは改ざんXcodeで開発されたと見られるアプリを既にApp Storeから削除している。そもそも中国語版のアプリなので国内での被害報告は聞かれないが、App Storeにあるアプリの全てが安全というわけではないことを広く知らしめる結果になった。

 表1 に見るようにApp Storeに不正アプリが登録されるケースはこれまでにもいくつかあった。人気アプリをコピーした偽アプリも登場している。アップルの審査を過信せず、不用意なインストールをしない対応が求められる。

セキュリティ情報局にご登録頂いた方限定で「脱獄なんかしない!それでも危険?iOSデバイスへの脅威最新事情」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

iPad/脱獄なんかしない!それでも危険?iOSデバイスへの脅威最新事情」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「iPad」関連情報をランダムに表示しています。

iPad」関連の製品

コラボフロー 【コラボスタイル】 iOS向け統合セキュリティサービス 「InterSafe MobileSecurity」 【ソフトバンク コマース&サービス】 イベント運営支援アプリ「Smart at event」 【ソフトバンク コマース&サービス】
ワークフロー フィルタリング 受付システム
Excel帳票をデザインしてWebフォームに変換。申請経路をパズル感覚で簡単設定し、1申請書類から運用が可能なワークフロー。充実の連携パーツで様々なシステム連携も可能! 専用ブラウザ不要で、iOS端末におけるWebフィルタリングを実現するサービス。業界最高クラスの147カテゴリ、30億以上の登録Webコンテンツで高品質のフィルタリングが可能。 スムーズな受付はもちろん、事前登録や案内メール、後日のフォローアップやアンケートまで、イベント運営にまつわるさまざまな業務をサポートするイベント運営支援ツール。

iPad」関連の特集


パソコン上の書類を「とりあえず印刷して確認しよう」はよくある話。しかし紙の印刷は、コピー機のトナーや…



社員数の増加に伴い拠点数も増加。だんだん疎遠になる“社員間のコミュニケーション”とそれを補うために増…



システムの原型となるテレビ電話が登場してから半世紀が経過した今、ビデオ会議はどう進化しているのか?最…


iPad」関連のセミナー

第18回 ペーパーレス会議体験アワー 【リコージャパン】  

開催日 9月5日(火),9月5日(火)   開催地 東京都   参加費 無料

「選ばれるのには、理由がある」5000人以上の役員がご利用中!会議ごとに発生する資料の印刷コスト・配布や回収の手間、情報セキュリティなど会議にまつわる様々な課題…

iPad と FileMaker を利用した業務システム作成体験セミナー 【ファイルメーカー】  

開催日 8月24日(木),8月25日(金)   開催地 大阪府   参加費 無料

講座の目的 FileMaker と iPad で業務改善の様々なシーンを体験実際に FileMaker をつかって iPad 向け業務システム作成を体験受講対象…

第17回 ペーパーレス会議体験アワー 【リコージャパン】 締切間近 

開催日 8月25日(金),8月25日(金)   開催地 東京都   参加費 無料

「選ばれるのには、理由がある」5000人以上の役員がご利用中!会議ごとに発生する資料の印刷コスト・配布や回収の手間、情報セキュリティなど会議にまつわる様々な課題…

「スマートデバイス」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007984


IT・IT製品TOP > スマートデバイス > タブレット > タブレットのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ