脱獄なんかしない、それでも危険なiOSの脅威最新事情：セキュリティ強化塾（2/4 ページ）

　アップルでは、不正あるいは粗悪なアプリが流通しないように、有償、無償を問わず、全ての一般公開アプリを厳しく審査し、合格したものだけを、同社の公式アプリマーケットであるApp Storeから配布できるようにしている。この仕組みは、不正アプリがまん延しない重要な予防対策になっている。

　しかし、それでも審査の網を通り抜ける不正アプリが時にはある。また、アップルの審査を通さずにアプリを流通させるモグリのアプリマーケットも存在する（こちらの利用には端末の「脱獄」が必要）。それに加えて、上述のように脱獄をしていない端末にもApp Storeを通さずに不正アプリをインストールさせる手口も出てきた。これまでどのような手口が発見されているのかを表１に示す。

表1 iOS対象の不正アプリの歴史（出典：トレンドマイクロ）

　この表に見られるように、不正アプリの侵入にはいくつかのパターンがある。以下に対策を含めて解説していこう。

Appストアに不正アプリが混入する事件

　2015年9月、App Storeに多数の不正アプリが公開された事件があった。発表された不正アプリの数は当初は39本、一部報道によれば数百本あるとも言われたが実際は不明だ。攻撃者はiOSのアプリ開発環境「Xcode」を改ざんし、それを使った第三者（正当なアプリ登録権限をもつ開発者）が作成したアプリにマルウェアを仕込む機能を忍ばせていた。この結果、生まれたマルウェアは「XcodeGhost」と呼ばれている。

　この改ざんXcode配布の舞台になったのは中国。通信環境に問題がある中国では、Apple公式サイトからのダウンロードに時間がかかるため、ユーザーが勝手に地域のミラーサイトを立ち上げてソフトウェア配布に利用するケースがあるという。そうしたApple非公認のサイトに改ざんXcodeも公開されていたのだ。

　アップルは改ざんXcodeで開発されたとみられるアプリを既にApp Storeから削除している。そもそも中国語版のアプリなので国内での被害報告は聞かれないが、App Storeにあるアプリの全てが安全というわけではないことを広く知らしめる結果になった。

　表1に見るようにApp Storeに不正アプリが登録されるケースはこれまでにも幾つかあった。人気アプリをコピーした偽アプリも登場している。アップルの審査を過信せず、不用意なインストールをしない対応が求められる。