2014年11月6日に米国で掲載されたブログ記事の抄訳です。

パロアルトネットワークスのセキュリティ脅威インテリジェンスチーム「Unit 42」のクロード・ザオ(Claud Xiao)は、過去6か月間Mac OSとiOSを標的としてきたマルウェア「WireLurker」についてのリサーチレポートを発表しました。このマルウェアが明らかになったことでAppleのMacおよびモバイルデバイスのマルウェア攻撃に新しい時代が到来した事を象徴しています。

  • 観測史上で最大規模のOS X向けアプリケーション経由で感染したマルウェア
  • OS X のUSB経由でiOSデバイスを攻撃する2例目の既知マルウェア
  • バイナリファイルの置換で悪意あるiOSアプリケーションを自動生成する初めてのマルウェア
  • インストール済みのiOSアプリケーションを感染させる前例のないマルウェア
  • ジェイルブレイクしていないiOSデバイスに、企業内アプリ配信によりサードパーティー製のアプリケーションをインストール可能にする初めてのマルウェア

WireLurkerは 中国のサードパーティー製Mac向けアプリケーションストア「Maiyadi (マイヤディ) App ストア」で配信されている467個のOS X向けアプリケーションをトロイ化しました。過去6か月間で感染した467個のアプリケーションはこれまでに356,104回以上ダウンロードされており、何十万人ものユーザーに影響を与えている可能性があります。

WireLurker の攻撃の仕組み

WireLurkerは感染したOS XコンピュータにUSB接続されたすべてのiOSデバイスを監視します。そして、ジェイルブレイクしているか否かにかかわらず、ダウンロードされたサードパーティー製アプリケーションのインストールをiOSデバイスに実行、または悪意のあるアプリケーションを自動生成後iOSデバイスにインストールします。この特徴を踏まえマルウェアは 「Wire Lurker」 (ワイヤーラーカー:周到に準備する悪人)と名付けられました。これまでも類似した手法でジェイルブレイクしていないデバイスを攻撃する方法をリサーチャーが検証してきましたが、このマルウェアに至っては複数の手法を組み合わせてiOSデバイスを攻撃する全く新しい脅威です。

WireLurker は防御策に対抗するため複雑なコード構造、複数のコンポーネントバージョン、ファイルの隠ぺい、コードの難読化、暗号化のカスタマイズという特徴を持っています。本日公開したホワイトペーパーでは、どのようにWireLurkerが配信され、マルウェアとしての活動過程や詳細な活動内について記述しています。
WireLurkerの潜在的な危険性についての説明や、防御方法、発見方法、脅威を阻止して修正する方法についても解説しています。またパロアルトネットワークスの次世代セキュリティ・プラットフォームで関連するリスクを回避する方法についても記述しています。

WireLurkerは感染したデバイスに保存されているさまざまな情報を盗むことが可能で、攻撃者からのコマンドやコントロールサーバーからも定期的なアップデートを要求します。このマルウェアは発展途上であり、作成者の最終的な目的は明らかとなっていません。

パロアルトネットワークスは、以下の手順でWireLurkerや同類の脅威に対処することを推奨しています。

  • 企業ではGlobalProtectをはじめとするモバイルセキュリティアプリケーションを導入し、モバイルデバイスの通信トラフィックが脅威防御システムを経由することを推奨
  • Mac OS X用のアンチウイルス製品またはセキュリティ保護製品を導入し、常に最新の定義データを入手する
  • OS Xのシステム環境設定の「セキュリティとプライバシー」で「Mac App Storeからのアプリケーションのみを許可」または「Mac App Storeと確認済みの開発元からのアプリケーションを許可」が選択されていることを確認
  • サードパーティーのアプリストアやその他の信頼が出来ない所からダウンロード入手したMac用アプリケーションやゲームソフトを実行しない
  • iOSのバージョンを最新に保つ
  • 企業のITヘルプデスクなどで公認されておらず信頼されていない機関のエンタープライズ・プロビジョニングプロファイルの利用を促された場合、許可しない
  • iOSデバイスを信頼できないコンピュータや知らないコンピュータに接続しない
  • iOSデバイスを信頼できない充電器や出所の分からない充電器で充電しない
  • 同様にiOSデバイスを信頼ができない、または知らないアクセサリやMacやWindowsコンピュータに接続しない
  • iOSデバイスをジェイルブレイクしない:もしジェイルブレイクした場合、Cydiaコミュニティの信頼できるソースを利用すること、また、個人情報などのセンシティブな情報の使用や保存は避ける

「WireLurker:OS X とiOS向けマルウェアの新時代」(英語版)はこちらでダウンロードできます。
Unit 42ウェブサイトで最新の調査結果や講演情報、ニュース購読について情報を入手できます。