SCAN DISPATCH ：銀行サイトのログイン情報盗難用ワーム、JailbreakされたiPhoneから発見される

　SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

　iPhoneをJailbreak（脱獄）すると、特定の電話番号からの電話をブロックしたり、スライドロック・スクリーンにカレンダーや天気予報を表示したり、その他、App Storeでは入手できないアプリをインストールできる。ユーザにとってiPhoneをより一層便利なツールにする一方、iPhoneに大きなセキュリティの穴を開けることになり、Apple側では度重なるアップデートによりJailbreakの阻止に努めているが、Jailbreakツールの開発者たちは次々に新たな方法を探し出している。最新のOS、3.1.2でもJailbreakは可能である。ちなみに、JailbreakされたiPhoneは、iTunesを使って正規OSにリストアできるが、オフィシャルの携帯会社以外のキャリアで使えるようにするロック解除(unlock)は、これができない点で違っている。

　さて、JailbreakされたiPhoneを対象にしたワームが最初に発見されたのは今年の11月が最初。オーストラリアを中心に広まった「Ikee」ワームがそれだ。これは、iPhoneの壁紙を、80年代に「Never Gonna Give You Up」などの歌で有名になった英国ポップスターのリック・アストリーの顔写真に変え、「ikee is never going to give you up」というメッセージを表示するジョークのワームだった。

　Jailbreakしてアプリをインストールするには、iPhoneにSSHで接続する必要があるが、そのSSHのパスワードがデフォルトの「Alpine」のままになっている場合にこのワームの被害にあった。

　さて、今回新たに見つかったワームは「Duh」と名づけられており、感染されたiPhoneでING Direct銀行のWebページを訪れると、それと全く同じに見える偽のWebページにリダイレクトし、ユーザのログイン情報を盗むもの。オランダを中心にヨーロッパ数カ国のキャリアでこの感染が広がっているという。

　Sophos社によると、ワームは二つのコンポーネントから成り立っている。一つは、IPアドレスをスキャンし感染が可能なiPhoneを発見すると、デフォルトのルートパスワードを使用してSSH接続を行う「sshd」というスクリプト。一度ターゲットになるiPhoneに侵入すると、/private/var/mobile/home というディレクトリを作り、そこにマルウェアをコピーし、同時にランダムな数を被害者のiPhoneに感染IDとしてアサインする。そして、SSHのパスワードを変更して、被害者によるワームの除去を不可能とする。

　二つ目が、「syslog」と「duh」というスクリプトで、5分ごとにリスアニアにあるボットネットのコマンド・アンド・コントロール・サーバにログインし、前記IDとiPhoneのシステム名、IP番号、その他の情報をアップロードすると共に、サーバからその他のスクリプトなどをダウンロードする。またワームは、感染されたiPhoneをボットネット化して、同じWiFiネットワークを使っている他のiPhoneに感染を広げるそうだ。

　SSHのルート・パスワードが変更され感染を除去できない被害者のために、Sophos社のポール・ダックリン氏は、John the Ripperというパスワードクラッカーを使用して、「Duh」ワームがパスワードを「ohshit」に変更することをブログで公開している。

　被害にあった人は…

【執筆：米国　笠原利香】

【関連リンク】
Sophos blog
http://www.sophos.com/blogs/duck/g/2009/11/24/clean-up-iphone-worm/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw