連載
» 2015年10月20日 10時00分 公開

脱獄なんかしない、それでも危険なiOSの脅威最新事情セキュリティ強化塾(3/4 ページ)

[キーマンズネット]

プロビジョニングプロファイルを悪用する手口

 冒頭で紹介した詐欺アプリと同様の手口は2014年ごろから発生している。その特徴はApp Storeを経由せずに、非脱獄iOSデバイスにインストールされる仕組みを使うことだ。これは「プロビジョニングプロファイル」を悪用する手口だ。

 プロビジョニングプロファイルは、アプリをインストールする時に端末にダウンロードする「ipaファイル」の中にアプリ本体と一緒に含まれている。端末はまずプロビジョニングプロファイルを参照してアップルの証明書があるか、正当な開発者であるかなどを確認してからインストールを始める。

 プロビジョニングプロファイルは開発者がアップルに申請して入手するもので、その際には正当なライセンスを持っている開発者であることが確認される。またライセンス取得時には、法人ならば調査会社の情報(D-U-N-S Number)との照合などの実在確認が行われるので、身元を偽装して開発者になりすますことはかなり困難だ。

 しかし、開発者ライセンスだけではApp Storeへのアプリ登録ができるだけで、不正アプリを流通させることは難しい。そこでアプリ開発者や企業ユーザーのためのアプリ配布方法を悪用する。これはOver The Air(OTA)と呼ばれる配布方法で、開発者や企業が用意したWebサーバからアプリを配布できる。これには次の2種類がある。

アドホックプロビジョニング

 アプリのテストなどの目的で最大100台までの端末にインストールする場合に利用するライセンス。プロビジョニングプロファイルには利用する端末のUUID(個別の識別番号)が記載されており、登録端末以外では使えない。登録端末が変わる場合にはアプリをビルドし直してプロビジョニングプロファイルを作り直すことになる。年額1万1800円の費用がかかる。

iOS Developer Enterprise Program(iDEP)

 企業などの組織内でアプリを配布する場合のライセンス。こちらは無制限にアプリ配布が可能になる。プロビジョニングファイルには登録組織の識別情報は入るが利用端末を限定しないのでUUIDは必要ない。年間3万7800円の費用がかかる。

 どちらの場合も、配布にあたってアップルの審査やレビューを受ける必要がない。悪用しやすいのはiDEPのほうだ。ライセンスを入手さえすれば、自前のサーバから不特定多数の端末に不正アプリをばらまくことができる。ただしアップルは組織外での利用は認めていないので、発覚次第にiDEPライセンスは取り消しになるだろう。

 開発者用ライセンス取得とiDEPライセンス取得の関門をくぐり抜け、両方の年間ライセンス費用を払い、アプリを作成するというコストを払いながら、わずかな期間でコストを上回る利益を得ることができるかどうか。このように考えるとハードルが高いように思えるが、悪意のある攻撃者がまっとうな方法でライセンスを手に入れるとは限らないだろう。

脱獄端末の危険性

 iOSデバイスが珍しかった時代には、アプリの数も少なく、特にガジェット好きのユーザーは好奇心から脱獄を試すことも多かった。脱獄した端末だけが利用できるアプリマーケットがあり、大量のアプリが配布されてはいるが、その全てに安全だという保証はない。非公式のアプリマーケットはいわば無法地帯だ。表1にもある通り、iOS端末に感染するウイルスが幾つも発見されているが、ほぼ全てが脱獄端末を対象にしたものである。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。