Apple ID 22万5000件がマルウェア(ウイルス)によって盗み取られていたことが分かった。セキュリティ対策企業の米パロアルトネットワークスが8月30日(米国時間)、明らかにした。ただし、このマルウェア「KeyRaider」に感染するのは“脱獄”した端末だけなので、iPhone、iPadなどのiOS端末をごく普通に使っている一般ユーザーが影響を受けることはない。
“脱獄”とは、アップルが承認していないアプリを使いたい、端末を自分の好きなようにカスタマイズして使いたいなどの目的で、アップルがiOS端末にかけているロックを意図的にはずす行為のこと。ジェイルブレイクとも呼ばれる。脱獄すると端末がアップルのサポート対象外となるほか、今回のように悪意のあるプログラムを誤って自ら実行してしまい、何らかの被害にあうおそれがある。
パロアルトネットワークスによると、KeyRaiderは、脱獄した端末のみで使えるアプリを配布するアプリストアCydiaを通じて配布されていた。同社と、中国のアップルファンコミュニティWeiphoneで活動する技術者グループWeipTechでは、KeyRaiderを含むアプリ92本を見つけたという。KeyRaiderに感染すると、Apple IDとパスワード、デバイスの固有情報であるGUID、Appleのプッシュ通知サービス証明書と秘密鍵、App Storeでの購入情報が盗み取られる。KeyRaiderがこれらの情報を送信していたサーバーからは、22万5000件のAppleアカウントが見つかった。
攻撃者は、App Storeで配布されている有料アプリや、課金アイテムを無料で入手できるとうたうアプリ2つを公開していた。盗み取った情報を、購入処理の際に使用していたのだ。情報を使われてしまった人は、身に覚えのない請求を受けることになる。これらのアプリは2万回以上ダウンロードされており、これは約2万人のユーザーが22万5千件の盗み取られた認証情報を悪用したことを意味している。
また、KeyRaiderは遠隔から端末をロックする機能も持っており、ロック解除のための身代金を要求された人もいるという。
KeyRaiderの被害は中国、フランス、ロシア、日本、英国、米国、カナダ、ドイツ、オーストラリア、イスラエル、イタリア、スペイン、シンガポール、韓国など18か国に広がっており、半数は中国のユーザーだとみられている。
パロアルトネットワークスでは、自分の端末がKeyRaiderに感染しているかどうかを確認する方法と、感染していた場合の削除方法を公開している。
iOS端末をめぐっては、質問サイト等で「iPhoneで不正なサイトを開いてしまい、ウイルス感染が心配だ」といった質問をみかけることがしばしばある。脱獄していないiOS端末では、そのようなシチュエーションからマルウェアに感染したり、致命的なダメージを受けたりするようなことはない。iOS端末では原則、App Store以外からアプリをインストールすることはできず、管理アカウントも開放されていないためだ。脱獄したら必ずマルウェアに感染する、ということではないものの、脱獄せずに端末を使用することを強くおすすめしたい。
(2015/09/16 ネットセキュリティニュース)
【関連URL】
・KeyRaider: 無料アプリ取り放題のユートピア創造を目論む22万5000件超のAppleアカウントを盗用するiOSマルウェア(パロアルトネットワークス)
https://www.paloaltonetworks.jp/company/in-the-news/2015/KeyRaider-iOS-Malware-Steals-Over-225000-Apple-Accounts-to-Create-Free-App-Utopia1.html