iOSを取り巻く危険度が高まる、App Store外の不正アプリであってもiPhoneが誤認してインストールが可能に

　新端末「iPhone SE」が販売開始となり、盛り上がっているが、iPhone、iPadなどの「iOS端末」は、ウイルスなどに攻撃されない・されにくいという“安全神話”が、長年流布してきた。しかし近年は、大きく揺らぎ始めている。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2016.4.1 Fri 8:00

ワンクリック詐欺アプリをインストールさせる時に表示されるメッセージの例（提供：トレンドマイクロ）全 3 枚拡大写真

　新端末「iPhone SE」が販売開始となり、盛り上がっているが、iPhone、iPadなどの「iOS端末」は、ウイルスなどに攻撃されない・されにくいという“安全神話”が、長年流布してきた。しかし近年は、大きく揺らぎ始めている。

　セキュリティ企業のトレンドマイクロがまとめた資料によると、もともとiOS端末を狙う不正アプリは、2009年頃から確認されていたという。もっとも古い、初の不正アプリとされるのは、オーストラリアで確認された「IKEE（アイキー）」。当初は壁紙を変更するだけものだったが、後に、iOSの遠隔操作を行う改造版も登場している。ただしこれらは、いわゆる「脱獄（JailBreak）済み端末」を対象としており、非改造の通常端末は、当初無事だとされていた。また正規の「App Store」からアプリをダウンロードする限りは安全と思われていた。

　しかし2012年には、ユーザに許可を求めることなく、iOS端末の連絡先情報をリモートサーバに送信する不正アプリ「Find & Call」が、App Storeに登場。この流れが加速し、2014年から、iOS端末を狙う不正アプリの数が増加する。とくに注目を集めたのは、有名アプリ「Akinator the Genie」を模倣した詐欺アプリ「Akinator Genie」だろう。これは、App Store上で配布されたこと、非改造の通常端末を対象にしていたことによる。

　そして昨年2015年5月、ワンクリック詐欺アプリをインストールさせようとする、日本語の不正サイトがいよいよ確認された。この不正サイトは「プロビジョニングプロファイル」を悪用することで、アプリインストールを可能としていた。「プロビジョニングプロファイル」は、信頼できる開発者であることをAppleが保証する、証明書のようなもの。これを悪用されたため、App Store外の不正なサイトであっても、不正アプリであっても、iPhoneが誤認して、インストールが可能となってしまったのだ。

　さらに同年9月には、アプリ開発ツール「Xcode（エックスコード）」自体に、不正コードが混入。汚染された「Xcode」でアプリを開発すると、完成したアプリ自体が不正アプリ化する。これは主に中国語圏のアプリで確認されたが、「WeChat」「Angry Bird 2」「Baidu Music」といった著名アプリも含まれており、不正アプリ化した正規アプリがApp Storeでも公開されたことで大きく話題となった。

　こうして歴史を振り返ると、iOS＝安全と盲信するのではなく、セキュリティアプリを導入する必要性が高まっていることが分かる。「パソコンやAndroid端末に比べて」というのではなく、もはやiOS端末も等しく危険にさらされているのだ。iOSを取り巻く危険度が高まっている現在、あらためてiOS向けセキュリティアプリ導入を検討してほしい。たとえば、データベースに危険性について問い合わせを行い接続をブロックする「Webレピュテーション」技術などが、セキュリティアプリでは利用可能だ。

「iOS端末を狙う不正アプリ」の“歴史”……App Storeも安全ではない

《冨岡晶@RBB TODAY》