iOSデバイスに感染するWireLurkerマルウェアの仕組みと対策

●WireLurkerの感染ルート
OS Xにインストールしたアプリ経由で、そこに接続したiOSデバイスが攻撃されるというトロイの木馬型のマルウェア「WireLurker」の存在が報告され話題になっている。情報公開の翌日にはWindowsアプリ経由でiOSデバイスを攻撃する変異型のWireLurkerの存在も報告された。このマルウェアの感染経路、危険性、対策をまとめた。

○どこから感染するのか

同件を最初に報告したのはネットワークやセキュリティソリューションを提供する米Palo Alto Networksで、11月5日の初報でその概要が説明されている。WireLurkerの最も大きな特徴の1つは「Jailbreak(脱獄)していない状態のiOSデバイス(iPhoneなど)であっても攻撃される」という点で、これまで比較的安全とみられていた未脱獄状態のiPhoneであっても、WireLurkerによって侵入され重要なデータを抜き取られる可能性があることだ。

ただ、直接iPhoneに侵入するのは難しいとみられ、同期のメカニズムなど複数のテクニックを用いることでUSB経由で接続されたPC側のデバイスから侵入する手順を踏んでいる。そのため、まずPCのOSにWireLurkerを仕込むのが前提となるようだ。

PC側の感染ルートは、サードパーティのアプリ配布サイトが主な手段とみられる。今回WireLurkerを報告したPalo Alto NetworksのUnit 42チームによれば、中国でMacユーザー向けにサービスを提供しているアプリストアのMaiyadi(麦芽地)では、467のアプリがWireLurkerに感染していることを確認しており、過去半年間で35万6104回のダウンロードを確認しており、少なくとも数十万のユーザーが影響を受けている可能性があるという。

感染したアプリがOS Xにインストールされると、マルウェアはトロイの木馬としてOS上に常駐するようになり、USB経由で接続されるiOSデバイスの挙動を監視するようになる。そしてひとたびデバイスがMacに接続されると、バイナリファイルを置換する形でWireLurkerに感染したiOSアプリを自動生成するようになり(つまりiOSデバイスにインストール済みアプリをWireLurkerに感染させる)、iOSデバイス上のアプリの動作にも影響を及ぼすようになる。Unit 42チームによれば、このような形でiOSアプリを乗っ取り、かつJailbreakなしのiOSデバイスであっても影響を与える初のマルウェアだという。また別のソースによれば、こうしたコードの存在は今年6月に中国のサービス企業であるTencentの技術者によって報告が行われており、数カ月を経てさらに被害が拡大している可能性があるようだ。

○Macからだけではない

そして、この発表の翌日にはAlienVault LabsのJaime Blasco氏によってWindowsでのWireLurkerの実行コードを含んだアプリの存在が報告されており、Mac経由の感染ルートだけでなく、Windowsを含む「PCとのUSB接続同期でiOSデバイスが影響を受ける」マルウェアとして認知された。

このケースではMaiyadi以外の中国向けアプリストアにおいて、180のWindowsアプリと、67のOS XアプリにおいてWireLurkerの存在が確認されており、3月13日以降から情報公開同日まで6万5213回のダウンロードが確認されたという。このケースでは97.7%のダウンロードがWindows版であり、MiyadiがAppleユーザー向けの情報サイトだという点を差し引いて、WireLurkerに感染したWindowsアプリ経由でかなりのユーザーが影響を潜在的に受けているのかもしれない。

●マルウェアの影響と自衛策
○感染による影響は?

前述のように、WireLurkerが現在猛威を振るっているのは中国市場であり、中国市場向けのサイトに接続し、そこからアプリをダウンロードしてインストールしない限り、現在のところは安全だとみられる。ケースバイケースだが、こうしたサイトで配布されているアプリは公式ストアに登録されなかった便利なツールや無料ゲームのほか、海賊版と思われるアプリも含まれていると考えられる。

こうしたアプリに飛びついたユーザーのマシンがWireLurkerに感染し、遠隔地から悪意のある第三者によってデータを監視され、例えばiOSデバイスに保存された個人情報や金融関連の情報を盗み見られるようになってしまう。

○国内ユーザーの自衛策は?

Wall Street Journalで報じられたAppleの公式声明によれば、Appleではこうしたアプリをストア登録前に事前に弾いており、Mac App Storeの公式アプリストアを利用するよう推奨している。つまり「極力怪しいサイトは使わない」というのが自衛策の1つというわけだ。

また、自身のiOSデバイスを「他のマシンに不用意に接続しないこと」も重要だ。WireLurkerはJailbreakの有無に関わらず、USB経由で接続したiOSデバイスに影響を及ぼす。もし接続先のマシンがWireLurkerに感染していた場合、この接続によってiOSデバイス内のアプリが感染してしまい、自身のデバイスまで悪意のある第三者の監視対象に含まれてしまう。

このテクニックはPCだけでなく、「そこらにあるiOSデバイス充電プラグやUSBコネクタ」も同様で、感染ルートが際限なく広がる可能性も秘めている。怪しいサイトからアプリをダウンロードする……というユーザーは少ないと思われるが、こちらについては無警戒なユーザーは多いとみられ、よく注意したい。

Unit 42では禁止という言葉こそ使っていないものの、Jailbreakは行わないよう推奨している。今回のケースではJailbreakの有無に関わらず感染してしまうため、あまり関係ないように思われるかもしれないが、今後WireLurkerの変種が登場してiOSそのものに影響を及ぼす可能性を考えると、Jailbreakはさらに被害を広げる可能性がある。Cydiaのようなサービスを利用するためにJailbreakを行っているユーザーはいると思うが、こうしたデバイスには重要なデータは保存しないようUnit 42は警告している。