| 研究者 2015年7月21日


2015年7月21日

Hacking Team社のスパイウェアが、ジェイルブレイクされていないiPhoneにも感染することを確認

By David Richardson

今週、Skype、メッセージ、ロケーション、ソーシャルメディア、画像等のデータをユーザーに気づかれずにキャプチャーするため、「ステルス」「追跡不可能」としてプロモーションされているソフトウェアを販売する、イタリアのスパイウェア販売会社Hacking Teamがハッキングされたというニュースが、セキュリティ業界を駆け巡りました。
Hacking Team社がハッキングされたことにより、その顧客である世界各国の政府機関が、 iOSやAndroidなどのモバイル機器内に保存したデータや、モバイル危機がアクセスした膨大なデータを入手している可能性が明らかになりました。
最新の報告によると、Hacking Teamのスパイウェアに感染するのはジェイルブレイクしたiOSデバイスに限定されているとありましたが、Lookoutがさらなる調査を行った結果、これが事実ではないと判明しました。
Appleは悪意あるソフトウェアからユーザーを保護するための優れた取組みを行っています。しかし、ジェイルブレイクされていないデバイスでもHacking Teamのスパイウェアに感染する可能性があるのです。
数日前にAppleが無効にするまで、Hacking Team社はAppleの企業向け証明書を所有し、その証明書によって、ジェイルブレイクしているか否かにかかわらずあらゆるiOSにアプリをインストールすることが可能でした。Hacking Team社はNewsstandアプリの中にスパイウェアを仕込み、この証明書を利用して多くのiOSにアプリを配布していました。これは、かつて出回っていた価格表に記されていた、対象となるiOSはジェイルブレイクしている必要があるという記述とは異なるものです。
企業向け証明書とは?
Appleは、企業がカスタムアプリを開発し、Appleの審査を経ずにApple Store以外で配布できるように、企業向け証明書を作成しました。企業は自社の従業員用に、このような配布方法でアプリを製作・配布することがよくあります。企業はこれらアプリを従業員のデバイスに限定してインストールする必要があるものの、実際には、企業向け証明書を使うことで自社従業員以外が保有するiOSにもインストールさせることが可能です。この企業向け証明書プログラムが悪用された場合、Appleによるアプリのセキュリティ点検システムをすり抜け、悪意あるソフトウェアの配布ルートを生み出してしまいます。
Appleは悪用を防ぐ対策として、Apple Store以外でアプリをインストールする前にユーザーに注意喚起を促すセキュリティ警告を作成しました。しかし、最近の研究ではますます多くの人々がこのようなセキュリティ警告を無視するようになっていることがわかっています。
Hacking Team社のスパイウェアがジェイルブレイクしていないiPhoneにインストールされた場合、このような警告が表示されます: HT-1 ユーザーが「信頼する」をクリックすると、アプリはジェイルブレイクされていないiPhone上にインストールされます。
iPhoneユーザーはApp Store以外でアプリを入手できるのか?
iOSユーザーは企業向けまたは開発者向け証明書でサインしたアプリであれば、ジェイルブレイクしていない携帯にもアプリをサイドロードすることが可能です。企業向けまたは開発者向け証明書でサインしたアプリは、App Store内に構築された基本的セキュリティ対策を回避します。App Storeはジェイルブレイクしていないデバイスに対しては相対的に安全な環境であり、ジェイルブレイクしていないデバイスに対する最近のiOS脅威のほとんどは、企業向けまたは開発者向け証明書でサインしたアプリの配布方法を悪用することで発生しています。インストール方法がApp Store経由、自社のIT部門からの配布、App Store以外のアプリストア経由、どのような方法であれ、信頼するアプリケーションだけをインストールすることが何より重要です。
Hacking Team社はどうやってジェイルブレイクしていないiPhoneにスパイウェアを忍び込ませるのか?
Hacking Team社が iOSデバイスにスパイウェアを忍び込ませる方法は3つあるとみられています:
  • デバイスが USB経由でMacに接続された際に、OS XアプリがiOSアプリを自動的にダウンロードします。この方法は、古いバージョンのiOSで動作するジェイルブレイク攻撃とセットになっているようです。
  • Windowsデスクトップアプリにも同様のことをするものがあります。
  • モバイルデバイス上でウェブサイト、Eメール等のリンクをクリックし、アプリをダウンロードすることでも起こり得ます。
Lookoutは、Hacking Team社のスパイウェアをインストールするには物理的にデバイスにアクセスできる必要があると考えていました。しかし、Hacking Team社が企業向け証明書を所有していたということは、ウェブブラウザ(ドライブバイ・ダウンロード)、フィッシングメール、その他の遠隔手段でもインストールできる可能性があることを意味しています。
スパイウェアがデバイスにインストールされると、Newsstandアプリと同時に見えないアイコンと空白のアプリ名をインストールします。
ここでは、Newsstandには何も入っていないように見えます: ht2 しかし、以下のようにNewsstandと一般設定画面ではアプリが存在していることを確認できます: ht3ht4 アプリがインストールされると、欲しいデータへのアクセス許可を堂々と要求してきます。ユーザーが承認すると、ユーザーのロケーション、カレンダー、連絡先のデータを追跡し始めます。
ht5 ht6  ht8
アプリがこれら多くの情報へのアクセスを要求していることから、このアプリは標的となるデバイスに密かにインストールし、できるだけ多くの情報を搾取することが目的となっていると考えられます。
また、このスパイウェアはキーボードに打ち込まれた情報も入手します。PlugInフォルダーには、以下のように新しいキーボードをデバイスに追加するペイロードプログラムが含まれています: ht9 Hacking Team社のキーボードに切り替えるには物理的にデバイスにアクセスしてキーボードの設定を変える必要がありますが、もし攻撃者が切り替えに成功した場合、このキーボードはiOSに組み込まれたキーボードと酷似しているため、標的となるユーザーは自分がキーボードに打ち込むデータが遠隔のサーバーに密かに送信されていることに気づきません。以下はHacking Team社のキーボードのスクリーンショットです: ht10 Appleは、このような第三者が開発したキーボードはパスワードフィールドとしてマークされている項目で作動できないようセーフガードを組み込んでいます。そのため、正規のアプリやウェブサイトからパスワードを盗むことができないようになっていますが、ユーザー名、Eメールの内容、その他の機微データを盗むために悪用される可能性はあります。
結論
今週業界に衝撃を与えた、Hacking Team社がハッキングされたニュースには2つの重要点があります:
  1. 世界中の攻撃者がiOSとAndroidの両方を攻撃する意図と、そのための技術を有していること。
  2. iOSについては、ジェイルブレイクしていないデバイスでも危険にさらされる可能性があること。Hacking Team社が企業向け証明書を所有していたという事実は、同社がジェイルブレイクしていないiOSにスパイウェアをインストールさせることも可能であることを示しています。これにより、現在世界で約8%と想定されているジェイルブレイクしたデバイス所有者をはるかに超えて被害が広がる恐れがあります。
ではどのような対策をすべきでしょうか? Hacking Team社のスパイウェアがデバイスに忍び込んでいるかは以下の方法で確認することができます:
  • iOS 設定上で名前が空欄になっているアプリを探します。
ht12
  • iOS設定 -> 一般 -> キーボード -> キーボードへ進み、自分でインストールしたキーボードだけがデバイス上で設定されていることを確認します。
ht13 その他にも安全にスマートフォンを使用するためのヒントがあります:
  • スマートフォンにパスワードを設定する。市場に出回っている多くのスパイウェアは、インストールの際にデバイスへの物理的アクセスを必要とします。スマートフォンにパスコートを設定することで、これが格段に難しくなります。
  • AppleやGoogleが運営しないアプリストアや、オンライン上に掲載されているリンクからは、アプリをダウンロードしない。スパイウェアは非公式のアプリストアから配布されることがあります。App StoreやGoogle Playストアといった安全性が確認されている、公式マーケットプレースからのみダウンロードしましょう。
  • 十分な知識なしにデバイスをジェイルブレイクしない。ジェイルブレイクしたiOSデバイスは根本的にセキュリティレベルが低いため、セキュリティ対策が適切に有効になっていない場合はより攻撃を受けやすくなります。
  • 攻撃を未然に防ぐことのできるセキュリティアプリを利用する。Lookoutはまさにそのようなアプリです。しかし、Lookoutユーザーでない場合は、使用しているセキュリティプロバイダーがHacking Team社やその他の形式のスパイウェアを検出するかどうか確認してください。

投稿者

David Richardson,
プロダクト マネジメント担当ディレクター

コメントする

送信


0 コメント