古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

iPhoneが安全とは限らない? マルウェア「iXintpwn」の思わぬ手口

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/10/02
iPhoneが安全とは限らない? マルウェア「iXintpwn」の思わぬ手口: 『デジタルの作法』 © ITmedia エンタープライズ 提供 『デジタルの作法』

 トレンドマイクロが興味深いブログ記事を公開しています。2017年6月にランサムウェアを作成した未成年が逮捕された事例がありましたが、その未成年者が作成、拡散したiOS向けのマルウェア「iXintpwn」を解説した記事です。

 「iOSでマルウェアが存在するのか?」と思う人もいれば、「iOSにだって脅威は存在する」と思う人もいるでしょう。確かにiOSでも、脆弱性を突いて「脱獄」と呼ばれる方法で管理者権限を奪った後に、不正なアプリをインストールする手法や、アプリ内に望まない機能を埋め込むような手法で、不正な行動をさせることは可能です。

 しかし、iOS端末ユーザーが小まめにOSをアップデートして脆弱性をふさいだり、アプリストアが問題のあるアプリの配信を止めたりすることで、多くの脅威は防げます。ただ、今回の「iXintpwn」は、思った以上に簡単に、あなたのiOS端末を使用不能にできてしまうことが分かったのです。

●iXintpwnの侵入手口は?

 このiXintpwnが行ったのは、不正なアプリをアプリストアに忍び込ませることでも、脆弱性を利用した高度な攻撃でもありません。iOSの仕組みである「構成プロファイル」を使った攻撃だったのです。

 構成プロファイルは、企業が業務で使うiOS端末を統合的に管理する目的でインストールする小さなファイルで、各種設定を自動で行うためのものです。この構成プロファイルを使えば、例えば一定ルールのパスコードを強制したり、企業が用意しているWebサイトのアイコンを追加したりと、さまざまな設定を行えます。iXintpwnはこれを悪用し、iOSのホーム画面に大量のアイコンを作成するというものでした。

 アップルのアプリは、「App Store」でアプリの審査を行った後、ベンダーや開発者に配布が許可されるため、マルウェアのような脅威が比較的少ないことで知られています(もちろん、AndroidのGoogle Playでも不正なアプリを見つけ次第取り下げています)。しかし、今回のような構成プロファイルを悪用した手口はアプリストアを経由しないため、SNS上でURLをクリックし、インストールが成立してしまうと、今回のように大量にアイコンが作成されてしまいます。

●感染を防ぐ方法は

 先述の通り、そもそも構成プロファイルは企業向けのものであり、個人ユーザーが使うことはほとんどありませんでした。しかし、最近では、面倒な端末の設定を容易にするために使われるようになりました。

 例えば、今、流行の「格安SIM」を使っている人なら、最初に構成プロファイルをインストールしたはずです。格安SIMでiPhoneを利用する場合、通信先を指定する必要があるのですが、その設定を簡単に行えるよう、この構成プロファイルを使っているのです。ほかにも、大手通信キャリアのキャリアメール設定でも、この構成プロファイルを活用している例がありますし(関連リンク1、2、3参照)、デジタルカメラとiPhoneを無線LANで接続するときに使っていることもあります。

 ただ、個人利用に限っていえば、構成プロファイルを何らかのセットアップをするとき以外に利用することはあまりないと考えてください。特に、何かを設定しようとしているわけでもないのに、インターネット経由で構成プロファイルがインストールされるような画面遷移になった場合は、必ずそれが意図されたものなのかどうかをマニュアルなどを確認したほうがいいでしょう。

 さらに、インストール元のサイトが「改ざん」されていないかどうかも、注意する必要があるかもしれません。ただ、今のところは、構成プロファイルの案内ページとダウンロード先が「https://」で始まるURLなのかどうかを確認するくらいしか方法がなく、短期的には構成プロファイルを使っている企業の信頼性に頼らざるを得ない状況です。

●気になる“マルウェアの意図”

 このように、構成プロファイルを悪用した事例は今後も増えてくる可能性があります。そして個人的に気になった点は、このマルウェアの「意図」です。

 このコラムでも、多くのマルウェアは明確に「金銭」を狙っていると言い続けてきました。「オレがこのコンピュータウイルスを作ったんだぞ!」というような自己顕示欲型はなりを潜め、深く、静かに潜行して情報漏えいを引き起こしたり、派手に感染させて身代金を得るのが、昨今のマルウェアの狙いです。ところが、今回のマルウェアは、未成年者によるものだけあって、その意図が「自己顕示欲」に寄っているのが特異な点です。

 コンピュータウイルスの命名は、こうしたウイルス作者の自己顕示欲を煽らないよう、「ウイルス作成者の名前は入れない」のが暗黙のルールになっています。マルウェアが感染し続けることで、マルウェア作成者の意図を「宣伝」することになるのを防ごうというわけです(iXintpwnもトレンドマイクロでは「TROJ_YJSNPI.A」として検出されます)。

 今回のiXintpwnにも、ネット上で広まっている“とある事象や流行”といったインターネットミームをもとにした通称がついています。これが広まることにより、そのインターネットミームに注目が集まってしまうことが個人的には気になります。それをコラムに書いている時点で、私もその「宣伝」に加担しているのかもしれませんが……。

 とはいえ、今回の攻撃手法は知っておくべきものです。未成年がサイバー犯罪に手を染めてしまったこと、そして報道のさじ加減が難しい事件が起きてしまったことも、このiXintpwn騒動の気掛かりなところです。

●著者紹介:宮田健(みやた・たけし)

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より:

2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon