iOSを狙う新マルウェア「AceDeceiver」を確認--ジェイルブレイクされていない端末にも感染

　「iPhone」と「iPad」を狙った新種のマルウェアによって、膨大な数の端末が大きな危険にさらされている。ユーザーに気づかれることなく、ジェイルブレイクされていない端末にも感染するからだ。

　セキュリティ企業Palo Alto Networksが「AceDeceiver」と呼ぶこのトロイの木馬は、エンタープライズ証明書なしで「iOS」搭載端末に自らをインストールする。

　Palo Alto Networksのセキュリティ研究者であるClaud Xiao氏は米国時間3月16日、「AceDeceiverは、Appleのデジタル著作権管理（Digital Rights Management：DRM）機構『FairPlay』の設計上の脆弱性を利用して、iOS端末がジェイルブレイクされているか否かにかかわらず悪質なアプリを端末にインストールする。この手のiOS向けマルウェアを見るのは初めて」とブログに記した。

　FairPlayは、ユーザーがApp Storeからアプリを違法に取得できないようにするためにAppleが作成したDRM技術である。ハッカーは「FairPlay Man-in-the-Middle」と呼ばれる攻撃手法によって、Appleの他のセキュリティ対策も回避しながら、所有者に気づかれないうちに悪質なアプリをiOS端末にインストールしてしまうという。

　「FairPlay MITM攻撃において、攻撃者はまずApp Storeからアプリを購入し、認証コードを傍受する（編集部注：コンピュータ上のiTunes経由で購入したiOSアプリはiOS端末にインストールされる際に、アプリの購入を確認するための認証コードを端末間でやりとりする）。そして、iTunesクライアントの動作を模倣するPCソフトウェアを開発し、（ユーザーが買ってもいない悪質な）アプリが端末所有者によって本当に購入されたかのようにiOS端末に認識させる」とXiao氏はブログ投稿で説明している。

　Palo Altoによると、この手法は、主にiOSアプリの海賊版を拡散するための手段として2013年から存在していたという。しかし、それをマルウェアの拡散に利用するのは、AceDeceiverが初めてだという。

　AceDeceiverは中国で次のように感染を広げている。ユーザーはまず、「Aisi Helper」というWindowsプログラムをダウンロードする。これは、ジェイルブレイク、システムバックアップ、端末管理、システムクリーンアップのためのソフトウェアとして見せかけられている。

　これが一旦インストールされると、PCクライアントは接続されている任意のiOS端末に、最新の悪質なiOSアプリを自動的にインストールするとXiao氏は説明した。

　悪質なアプリは、攻撃者が制御するサードパーティーアプリストアに接続する。そこからはフィッシングの基本的な手口が使われる。ユーザーは、さらなる機能にアクセスするためにApple IDとパスワードを入力するよう求められる。

　16日の時点で、AceDeceiverの影響を受けているのは中国本土のユーザーのみである。しかしPalo Altoは、AceDeceiverはより大きな問題を暗示していると警告する。つまり、マルウェアを比較的簡単にジェイルブレイクされていないiOS端末に感染させる方法が存在するということだ。

　Palo Altoは2月26日に、このマルウェアをAppleに報告している。