iOSにも押し寄せたマルウェア、その対策はあるのか - 松村太郎のApple先読み・深読み
毎年9月、テクノロジー企業の多くは、製品のリリースを行うことを躊躇しがちになる。9月上旬にAppleスペシャルイベントが開かれ、続いて中旬には新OSのリリース、そして下旬には新型iPhoneの発売日があり、ほとんどのニュースはApple関連に割かれてしまうからだ。
そして今年は、iPhone 6s・6s Plusに加えて、新型Apple TV、大型化されたiPad Pro、そしてApple Watchの新作と、盛りだくさんの発表会となった。盛り上がりを見せるAppleニュースの中で、見逃すことができない、非常に重要なセキュリティ上の懸念が持ち上がっていた。
○偽物のXcode事件「XcodeGhost」
事の発端は、9月17日、App Storeに配信されているアプリに、マルウェアが含まれていることを、中国の開発者が発見したことから始まる。
XcodeGhostと認識されたこのマルウェアは、アプリの起動時刻やOSのバージョン、端末固有のID、デバイス名、言語設定などの情報を、特定のサーバに送信する機能が備わっている。また、iCloudアカウントのパスワード入力を求めるアラートを用いて、多くの人が決済のクレジットカードと紐付けているApple IDのアカウント情報を乗っ取ることができる。問題のアプリは、中国語圏向けを中心として、約40のアプリに含まれていることがわかった。
原因は、Apple以外のサーバからダウンロードした開発ツールを使用したこと。中国の開発者がたちが、Appleのサーバへの接続速度の遅さから、アプリ開発ツール「Xcode」百度のクラウドサービスにアップロードされたコピーをダウンロードする行動が拡がっていたためだという。
この偽物のXcodeで開発したアプリに、前述のマルウェアが含まれており、App Storeの審査を通過して一般に配布・販売された。これが一連の経緯である。
●人気にアプリにマルウェアが
○影響を受けたのは世界で数億人に上る可能性
Appleや開発者は事態の収拾に動いているが、依然として、マルウェア入りのアプリをそのまま利用しているユーザーも少なくないはずだ。というのも、中国市場で最も人気があり、中国語圏の人々と頻繁に連絡を取る世界中の人々にも広く普及していたアプリが、リストに含まれていたからだ。それはWeChatである。
WeChatはTencentのチャットアプリで、中国では「微信」(ウェイシン)と呼ばれている。
アカウント数は13億人を超え、月間アクティブユーザー数は5億人を数える巨大なサービス。このiOS版にマルウェアが含まれていたことになり、影響を受けたのは1億人を上回る可能性がある。ちなみに現在は既に安全な最新版が配信されているという。
その他、中国国内向けのUberに似たタクシー配車サービス「Didi-Kuaidi」、音楽ストリーミングサービスなどの人気のアプリが含まれていた。WinZipやスキャナーアプリなど、ユーティリティ系のジャンルにも及んでいる。また中国向けのAngry Birds 2も、同様のマルウェアが含まれていた。
コミュニケーション、エンターテインメント、生産性向上など、多岐に渡るアプリがこの被害を受けており、Palo Alto Networksが挙げたアプリがすべてとは限らない。下記の通りAppleも対策に乗り出しているが、リストに挙がった約40すべてのアプリが削除あるいは更新されたわけでもないという。
●自己防衛するには
○自衛策も必要に
これまで、一般に、「iPhone/iPadはApp Store経由のアプリ以外をインストールできないため、安全だ」という認識が強かった。そのため、Androidユーザーが日頃気遣っているセキュリティ対策が、ユーザーから完全に抜け落ちてしまっていた。このことは、被害をさらに拡げる可能性も秘めている。
iPhoneユーザーは、アプリ実行やデバイスのカスタマイズの自由度と引き替えに、アプリの安全性をAppleが担保してくれる、という信頼感があったかもしれない。開発者ではない一般ユーザーにとっては、OSの自由度よりも、高級感あるデバイスと使いやすいソフトウェアのほうが魅力的に感じるからだ。
しかし、今回のXcodeGhost問題は、そうした信頼感そのものが揺らぎかねない、Appleとしてもユーザーとしても、見逃すことができない問題といえる。
Appleのマーケティング責任者であるフィル・シラー氏は、中国のシナドットコムに再発防止策として、中国国内からXcodeをダウンロードできるようにする対策や、感染を特定した25種類のアプリをリストアップし、ユーザーが対策を行えるようにするとしている。一方のユーザーも、自衛策に走るべきだろう。
App Storeは今後も、原則として信頼性のあるアプリが配信されるよう努めていくはずだが、アドネットワーク経由などのリンクからアプリをダウンロードする際には、その安全性について細心の注意を払ったり、アプリに限らず最新のセキュリティ情報に目を光らせていくことが必要だ。
例えばApp Storeが、インストールされているアプリを見ながら、リスク情報などを自動的に受信する仕組みを備えても良いかもしれない。いずれにしろ、AppleはiPhone・iPadユーザーに対して、セキュリティ意識を高め、対策する手段を提供することが重要になるだろう。
松村太郎(まつむらたろう)1980年生まれ・米国カリフォルニア州バークレー在住のジャーナリスト・著者。慶應義塾大学政策・メディア研究科修士課程修了。慶應義塾大学SFC研究所上席所員(訪問)、キャスタリア株式会社取締役研究責任者、ビジネス・ブレークスルー大学講師。近著に「LinkedInスタートブック」(日経BP刊)、「スマートフォン新時代」(NTT出版刊)、「ソーシャルラーニング入門」(日経BP刊)など。ウェブサイトはこちら / Twitter @taromatsumura
提供元の記事
提供:
