木曜日, 9月 24, 2015

App StoreのXcodeGhost事件、作者名乗る人物がソースコード公開

App StoreのXcodeGhost事件、手法はCIAの研究と一致。作者名乗る人物がソースコード公開


App Store 史上初のマルウェア大量感染を起こしたXcodeGhostの続報。ツールを改竄することで開発者の意志とは無関係にアプリをマルウェア化するXcodeGhostの手法は、かつてCIAが進めていた「アップル製デバイスのセキュリティを破る研究」と同一であることが指摘されています。

今年3月、米国の調査報道サイトThe Interceptは、CIAのセキュリティ会合 Jamboree 2012 について流出資料を元に報じていました。The Interceptといえば、 NSA(米国家安全保障局)にいたエドワード・スノーデンの内部告発を伝えた記者グレン・グリーンワルドが編集者を務めるニュースサイト。 Jamboree 2012で発表されたハッキング技術のひとつに、アップル製品から情報を盗むためXcodeを改竄し、そうとは知らない開発者のアプリにバックドアを仕込 む手法がありました。XcodeGhostの最初のバージョンは The Intercept の報道の直後に見つかっていることから、作者が Jamboree 2012 の研究をヒントにして、コンセプトを実証するために作成したとも考えられそうです。

中国ではインターネット環境の悪いところも多く、特に海外サーバへの接続は特有の事情から遅いため、国外のサーバーにある数GBの Xcode をダウンロードするのに何時間もかかることがあります。登録した開発者ならばアップルから無料で入手できるはずのXcodeをわざわざ野良サイトから落と して改竄バージョンを掴んでしまった理由としては、少しでも早く入手するため、中国国内にサーバがあるファイル共有サイトにある「ミラー」を選んだことが 考えられます。

アップル純正の Xcode に幾つかのコードを付け足して改ざんしたとされる XcodeGhost も、こうしたコピー版と同じように、バイドゥのクラウドファイル共有サービスにアップロードされていたことがわかっています。バイドゥは騒動の発覚後、す べての Xcode コピーを削除しました。
 

今回の件では、iOS アプリそのものではなく開発環境の Xcode が改ざんされ、配布されました。アプリだけが感染しているだけならばそのアプリを削除すれば解決できますが、開発環境が改変されているとなると、それに気 づかずに使っている開発者が感染アプリを続々とアップロードしてしまうことも考えられます。アップルはすでに感染アプリ(の一部)を App Store から削除し、開発者に対して正規の Xcode でアプリを更新するよう伝えています。

実は Xcode を改ざんする手法が世に知れたのはこれが初めてではありません。今年3月、CIA が開催した極秘の研究者会合でアップルの端末ににキーロガーを仕込む研究が発表されていたと The Intercept が伝えました。その内容は「Xcodeを改ざんし、開発者が知る知らないにかかわらずアプリに悪意ある処理を埋め込む」という手法。改ざんした Xcode で作ったアプリを使えば、通信の傍受やパスワードの盗聴が可能になるとの説明は XcodeGhost の特徴とほぼ同じです。

早くから XcodeGhost について警告を発していたパロアルトネットワークスによると、The Intercept がこのことを伝えたのと同じ3月に最初の XcodeGhost が見つかっています。情況証拠だけではあるものの、XcodeGhost の開発者が、CIA の会合で発表された Xcode に関する研究の記事を参考にしていたとしても不思議ではありません。

一方、ソースコード共有サービス GitHub には XcodeGhost の作者を自称する人物がそのソースを公開しているのが見つかっています。この人物は、Xcode に発見した予想外の挙動を検証するために作ったのが XcodeGhost であり、間違った方法で公開してしまったために騒動になったと説明文に綴っています。そして、自分の XcodeGhost で作ったアプリは、アプリ名、バージョン、インストール時刻、デバイス名、デバイスの型式といった基本情報を収集するだけだと主張しています。
 

感染アプリによる実質的な被害はまだ報告がありません。また当初報じていたフィッシング目的のパスワード入力プロンプトの表示については、見つかっている XcodeGhost のコードにエラーがあり、実際には動作しないことがわかりました。ただ、エラーは2~3行のコードを修正するだけで取り除けるため、悪意ある開発者なら簡 単にこの機能を有効化できてしまいます。

XcodeGhost が拡がった原因のひとつにあげられるのは、中国のインターネット環境の問題です。中国当局(もしくはアップル)が、開発者が短時間で Xcode を入手できる環境を提供できていれば、わざわざ非正規のサーバーからソフトウェアを入手しようという気にもならず、今回のような問題は発生しなかったはず です。

ちなみに新たな 情報としては、中国のセキュリティソフトメーカー Qihoo360 が「XcodeGhost で作られたアプリが別のアプリをインストールする」と報じ、その模様を収めた動画も公開しました。ただ、この現象はこれまでに知られている挙動とは異なるため、本当に XcodeGhost による問題なのかはやや疑問の残るところです。


  • GHOST IN THE SHELL 攻殻機動隊 [DVD]
GHOST IN THE SHELL 攻殻機動隊 [DVD]