米セキュリティ企業Palo Alto Networksは3月16日、Appleの脱獄（Jailbroken）させていない端末にも感染するiOSマルウェアを発見したと伝えた。

同社はこのマルウェアを「AceDeceiver」と命名した。過去に出現したiOSマルウェアが主に証明書を悪用する手口を使っていたのに対し、AceDeceiverはAppleのDRM技術「FairPlay」に存在する設計上の弱点を突いてiPhoneなどの端末にインストールされるのが特徴だという。

攻撃の手口（Palo Alto Networksより）

FairPlayの設計問題を突く手口は「FairPlay中間者攻撃」（MITM）と呼ばれ、海賊版のiOSアプリを流通させる目的で2013年頃から使われていたが、マルウェアに利用されたのは初めて。AceDeceiverは3種類の亜種が2015年7月〜2016年2月にかけ、壁紙アプリを装ってApp Storeにアップロードされていたという。

攻撃者はコンピュータに搭載されたiTunesクライアント経由でiOSアプリを購入してダウンロードする仕組みを悪用。購入確認に使われる認証コードを入手し、不正に利用して、被害者が知らないうちに不正なアプリを端末にインストールさせていた。

AceDeceiverの悪質な挙動が発現するのは、現時点では中国のユーザーにインストールされた場合のみだが、この仕様は簡単に変更できることから、今後は中国にとどまらず、各国に広がる公算が大きいとPalo Alto Networksは予想する。

不正アプリは3本とも2月末までにApp Storeから削除されたが、いったん同ストアにアップロードされれば削除された後も拡散を続けられることから危険度は高いと同社は解説。AceDeceiverの出現によって、「脱獄させていないiOS端末でも比較的簡単にマルウェアに感染させる手段が実証された」と指摘している。

Copyright © ITmedia, Inc. All Rights Reserved.