XcodeGhost事件は成人における最も深刻な情報セキュリティ事件かもしれない

商業セキュリティ評価機関やアプリケーションソフトウェア開発者は、iOS システムが XcodeGhost Trojan バックドアに感染したのは、組織的かつ計画的なチームによる仕業であり、決して一般のハッカーによる単純な「実験」ではないと考えています。この事件は、今年国内で最も深刻な情報セキュリティ事件になる可能性があります。

XcodeGhost 事件は、まだ進行中です。国立インターネット緊急センターは9月14日、公式サイトで「Apple公式以外のXcode使用時に悪質なコードが埋め込まれる可能性に関する警告通知」を公開した。通知には、国内の開発者がAppleの公式チャネルではないXcodeツールを使用してAppleアプリケーションを開発すると、通常のAppleアプリケーションに悪質なコードが埋め込まれると記載されていた。これらの感染したAppleアプリケーションはApp Storeで正常にダウンロードおよびインストールでき、悪質なコードは情報を盗んだり、悪質なリモートコントロールを実行したりする能力を持っている。

最近、業界関係者は、iOS トロイの木馬の侵入により、約 1 億人の Apple 携帯電話ユーザーが感染し、Unity 開発エンジンで開発されたゲーム ソフトウェアも「汚染」された可能性があると述べました。これは、Apple 携帯電話が「影響を受ける」だけでなく、Microsoft や Android システムを含む一部のゲーム ソフトウェアも、XcodeGhost トロイの木馬に感染するセキュリティ リスクに直面していることを意味します。

XcodeGhost 事件はユーザー コミュニティの間では広く注目されませんでしたが、ソフトウェア開発者にとっては大きな衝撃でした。技術者らは、世界で最も安全な携帯電話システムとして知られるアップルのiOSが密かにハッキングされ、侵入後攻撃者はすぐに逃げることができたと述べ、これは一般人の手の届かないところだとした。

業界専門家のロン・ウィリアム氏は「ファイナンス」記者に対し、6月に国内の一部専門ソフトウェア開発フォーラムにソフトウェア開発用Xcodeのダウンロードを推奨する投稿が多数あったことから、リーダーは少なくとも半年、あるいはそれ以上前から準備を進めていたと分析した。

犯人はまず、Apple純正アプリ開発キットXcodeのソースコードを改変し、悪質なコードを埋め込みました。その後、改変した開発キットをBaidu Netdiskにアップロードし、主要フォーラムに継続的に投稿してキーワードの人気度を高め、継続的に最適化して宣伝しました。ソフトウェア開発者が検索エンジンにXcodeなどのキーワードを入力すると、この偽開発キットが自動的にトップに押し上げられ、最終的に開発者がダウンロードして使用できるBaidu Netdisk URLにリンクされます。

開発者は、純正Xcodeのダウンロード速度が遅すぎるため、Baidu Netdiskからのデータのダウンロードを優先するだろう。Apple純正のソフトウェア開発キットの容量は5GBと報じられており、国内のネットワーク速度を考えると時間がかかる。 Baidu Netdisk ではダウンロードが完了するまでに少し時間がかかります。アプリソフトウェア開発者がこの開発キットを使用する場合、Xcode に埋め込まれた悪意のあるコードはバイナリ コードであり、開発プロセス中に Core Service ライブラリ ファイルを通じて感染する可能性があるため、隠れたトロイの木馬が含まれているかどうかを識別するのは困難です。これは非常に秘密性が高く、混乱を招きます。疑わしいウイルスを発見するには、ソース コードをコンパイルしてから、専門的なパケット キャプチャ ツールを使用してテストする必要があります。

「国内のソフトウェア開発者もアップルのセキュリティ担当者もこの脆弱性を予想しておらず、発見するのは困難だった」と情報筋は語った。Xcode事件の背後にいる人物はセキュリティシステムによる何層もの審査をうまく回避できたが、これは少なくとも関係者がアップルのセキュリティ審査メカニズムと国家規制システムについて非常によく理解していることを示しており、そのおかげで中国でローカライズされたiOSシステムに「バックドア」を挿入し、ユーザー情報を収集することができたという。

9月16日、テンセントセキュリティセンターと360社の技術担当者は、AppleのiOS App Storeのトップ5,000アプリケーションのうち数百がトロイの木馬に感染していることを発見した。これらには、1億回以上インストールされているWeChat iOS（バージョン6.2.5）、Amap（バージョン7.3.8）、中国CITIC銀行のDynamic Card Space（バージョン3.3.12）、中国聯通オンラインビジネスホール（バージョン3.2）、滴滴タクシー（バージョン3.9.7）、NetEase Cloud Music（バージョン2.8.3）、51 Card Safe（バージョン5.0.1）、Flush（バージョン9.26.03）、Himalaya（バージョン4.3.8）などが含まれます。

9月19日、XcodeGhost事件の首謀者を名乗るネットユーザーがWeiboに声明を投稿し、これは単なる実験的なプロジェクトであり、危険はなく、ユーザーの個人情報を取得することはないと述べた。微博は、収集したデータはすべてアプリ番号、システムバージョン番号、デバイス名などのアプリの基本情報であると強調し、9月9日にサーバーをシャットダウンしてすべてのデータを削除した。

これに対し、Appleは9月20日、今回の攻撃ではハッカーがアプリ開発者を騙して改造されたAppleのアプリ開発ツールXcodeを使用させ、これらのアプリに悪意のあるコードを挿入したと回答した。

アップルの広報担当者クリスティン・モナハン氏は電子メールで、アップルのスタッフが偽造ツールに基づいて開発されたアプリをiOS App Storeから削除し、開発者らがアプリを再開発する際に適切なバージョンのXcodeを使用するよう取り組んでいると述べた。

App Storeが大規模な情報セキュリティ攻撃に遭遇したのは今回が初めてだと報じられている。

一部の技術専門家は、情報を収集するサーバーはシャットダウンされたが、他のハッカーがハッキングされた経路や同様の経路を使用して感染したユーザーの携帯電話を制御しないことを意味するわけではないと述べた。専門家は、感染したユーザーは感染したトロイの木馬アプリを速やかに削除して更新すべきだと推奨しています。そうしないと、個人情報の漏洩やその他の情報の収集といったセキュリティ上のリスクが依然として残ります。

Xcode に埋め込まれたコードの設計によれば、ポップアップ広告を強制したり、さらなる個人情報を取得したりするなどの指示を、感染した携帯電話にいつでも送信できる。これは、感染したユーザーが銀行のアプリシステムから受け取ったアカウントとパスワードの入力指示が、銀行から発行されたものではない可能性があることを意味します。情報筋はさらに、今回の事件では4つの大手国営銀行のアプリがトロイの木馬に感染していたことが判明していると指摘した。

中国市場には4億5000万台のスマートフォンがあり、そのうち約1億3000万台にAppleのシステムが搭載されている。民間のセキュリティ組織の評価と計算によると、XcodeGhost事件により少なくとも1億人のiOSシステムユーザーが「中毒」になったという。

一つの危機が終わる前に、別の危機が発生します。

9月23日朝、Baidu Security Labは、Unity3Dやゲーム開発に使われる他のツールにもXcodeGhostに似た悪意のあるコードが挿入されていることを発見した。この悪意のあるコードは現在、Alibaba Mobile Security Teamによって「Unity Ghost」と名付けられている。

Unity は Windows、OS X、Wii、iPhone、Windows Phone 8、Android プラットフォーム向けにゲームを公開できると報告されています。一部のソフトウェア開発チーム（Pangu jailbreak チームなど）は、一部のゲーム開発エンジンの Android バージョンが「Unity Ghost」に感染していることを確認しました。

中国のインターネット分野の研究者らは、近年中国のインターネットセキュリティは大きな課題に直面していると述べた。昨年は、Home InnsやHantingを含む約半数のエコノミーホテルの宿泊予約記録データベースがハッキングされ、今年は中国インターネット情報センター（CNNIC）が中間者攻撃に使用可能なSSL証明書を発行し、Google ChromeとFirefoxで禁止され、5月末にはCtripのルートデータベースがフォーマットされ、7月にはBaiduがハイジャックされ、9月にはAppleのiOSシステムがトロイの木馬に侵入された。

「現状と比較すると、XcodeGhostトロイの木馬侵入は今年最も深刻な情報セキュリティインシデントになる可能性が高い」と前述の研究者は述べ、この攻撃は3か月で少なくとも50万ドルの損害をもたらし、個人や商業組織は一般的に、多額の投資を必要とするが、利益が得られずに突然終了するプロジェクトには着手しないと述べた。つまり、これは大量の主要リソースと多額の資金援助を持つチームによる長期的な展開だったに違いない。

財経の記者はまた、XcodeGhost事件発生後、商業セキュリティ評価機関や業界技術専門家に加え、インターネット事務所、工業情報化部などの国家高レベル規制システムも事件の進展を注意深く監視していることを知った。

iOS系は落ち込み、国産Android系はさらに不調。 Cheetah Mobile Security Labが発表した「2014-2015年中国インターネットセキュリティ研究レポート」によると、昨年、世界中で2億8000万台のAndroid携帯がウイルスに感染し、1日平均80万台のAndroid携帯が感染した。感染した携帯の数は中国が約1億2000万台でトップとなり、中国は世界で最も深刻なAndroidウイルス被害に遭った国となった。

立法の観点からは、ビッグデータ時代にテクノロジーがナイフになり、ユーザーが魚になることをいかに回避し、ユーザー情報のセキュリティを確保するかは、今後も検討を続ける価値のある課題である。

出典：財経雑誌、記者 肖慧龍

原題: XcodeGhost 事件は成人における最も深刻な情報セキュリティ事件となるかもしれない

キーワード: