OS Xにインストールしたアプリ経由で、そこに接続したiOSデバイスが攻撃されるというトロイの木馬型のマルウェア「WireLurker」の存在が報告され話題になっている。情報公開の翌日にはWindowsアプリ経由でiOSデバイスを攻撃する変異型のWireLurkerの存在も報告された。このマルウェアの感染経路、危険性、対策をまとめた。
どこから感染するのか
同件を最初に報告したのはネットワークやセキュリティソリューションを提供する米Palo Alto Networksで、11月5日の初報でその概要が説明されている。WireLurkerの最も大きな特徴の1つは「Jailbreak(脱獄)していない状態のiOSデバイス(iPhoneなど)であっても攻撃される」という点で、これまで比較的安全とみられていた未脱獄状態のiPhoneであっても、WireLurkerによって侵入され重要なデータを抜き取られる可能性があることだ。
ただ、直接iPhoneに侵入するのは難しいとみられ、同期のメカニズムなど複数のテクニックを用いることでUSB経由で接続されたPC側のデバイスから侵入する手順を踏んでいる。そのため、まずPCのOSにWireLurkerを仕込むのが前提となるようだ。
PC側の感染ルートは、サードパーティのアプリ配布サイトが主な手段とみられる。今回WireLurkerを報告したPalo Alto NetworksのUnit 42チームによれば、中国でMacユーザー向けにサービスを提供しているアプリストアのMaiyadi(麦芽地)では、467のアプリがWireLurkerに感染していることを確認しており、過去半年間で35万6104回のダウンロードを確認しており、少なくとも数十万のユーザーが影響を受けている可能性があるという。
感染したアプリがOS Xにインストールされると、マルウェアはトロイの木馬としてOS上に常駐するようになり、USB経由で接続されるiOSデバイスの挙動を監視するようになる。そしてひとたびデバイスがMacに接続されると、バイナリファイルを置換する形でWireLurkerに感染したiOSアプリを自動生成するようになり(つまりiOSデバイスにインストール済みアプリをWireLurkerに感染させる)、iOSデバイス上のアプリの動作にも影響を及ぼすようになる。
Unit 42チームによれば、このような形でiOSアプリを乗っ取り、かつJailbreakなしのiOSデバイスであっても影響を与える初のマルウェアだという。また別のソースによれば、こうしたコードの存在は今年6月に中国のサービス企業であるTencentの技術者によって報告が行われており、数カ月を経てさらに被害が拡大している可能性があるようだ。
Macからだけではない
そして、この発表の翌日にはAlienVault LabsのJaime Blasco氏によってWindowsでのWireLurkerの実行コードを含んだアプリの存在が報告されており、Mac経由の感染ルートだけでなく、Windowsを含む「PCとのUSB接続同期でiOSデバイスが影響を受ける」マルウェアとして認知された。
このケースではMaiyadi以外の中国向けアプリストアにおいて、180のWindowsアプリと、67のOS XアプリにおいてWireLurkerの存在が確認されており、3月13日以降から情報公開同日まで6万5213回のダウンロードが確認されたという。このケースでは97.7%のダウンロードがWindows版であり、MiyadiがAppleユーザー向けの情報サイトだという点を差し引いて、WireLurkerに感染したWindowsアプリ経由でかなりのユーザーが影響を潜在的に受けているのかもしれない。