2015年9月中旬、複数のiOSアプリが「XcodeGhost」と呼ばれる攻撃コードに感染し、マルウエア(悪意のあるソフトウエア)化していたことが分かった。感染したアプリの多くが中国製ということもあってか、日本国内での関心の高まりは限定的なようだ。
しかし、国内の大学や企業でこのマルウエアの影響が出ていることが、ラックのセキュリティ監視センター「JSOC」の調べで明らかになった。モバイル端末が業務でも急速に使われるようになる中、XcodeGhost問題は組織としての端末管理のあり方をあらためて考えるきっかけとなりそうだ。
日本の金融機関までもが感染
XcodeGhostとは、iPhoneやiPadの内部情報を盗み取り、勝手に外部のサーバーへ送信するとされる攻撃コードだ。どのように情報を盗み取るのか。iPhoneやiPadで文字を「コピー」したり「切り取り」をしたりする際、その情報は一時的に「クリップボード」と呼ばれる場所に記憶されるが、XcodeGhostはクリップボード上の情報を読み取って外部に送信するという。
例えばパスワード管理アプリの使用中に、パスワードがクリップボードに一時保存されると、それが流出する恐れがある。他にも、端末が遠隔操作されてフィッシングサイトに誘導されることもあるという。
XcodeGhostはiOS向けアプリを開発するための公式ツール「Xcode」に寄生したものだ。中国では通信事情によりXcodeをダウンロードするのに時間がかかるため、国内にXcode配布サイトが非公式で乱立しているという。攻撃者はこうした状況を利用し、攻撃コードを埋め込んだ「Xcode」を流通させた。そのことを知らずに使った開発者が汚染アプリを作ってしまったため、米アップルの公式ストア「App Store」で配布された中にXcodeGhostが混入することになった(関連記事:App Storeの一部にマルウエア感染、「不正アプリは削除済み」とApple)。