FAQ: XcodeGhost App Storeハッキングについて知っておくべきことすべて

ニュース

海賊旗 — スティーブ・ジョブズの「海軍に入るより海賊になる方がましだ」という古い格言は、おそらくアップルの応募書類には記載されていなかっただろう。
*写真：ジョージ・ホーダン／パブリック・ドメイン・ピクチャーズ*

先週末に発生した大規模な App Store ハッキングについて初めて聞いたとき、私たちと同じように困惑しているなら、私たちがお手伝いします。

ここでは、XcodeGhost のストーリーについて私たちが知っていることすべてをまとめています。今後、状況が進展するにつれて更新していきます。

XcodeGhostとは何ですか?

XcodeGhost のハッキングは、iOS エコシステムで初めて広範囲に及んだマルウェアインシデントであり、Apple 独自のアーキテクチャを悪用して攻撃を仕掛けた。

XcodeはAppleのプログラミングフレームワークであり、開発者はこれを使ってアプリやゲームを開発しています。そして、このシステムの改変版が、今日私たちが目にしている問題の原因となっています。XcodeGhostは、古いバージョンのXcodeを利用して、開発者に気付かれることなく悪意のある機能をアプリに導入します。侵害されたバージョンのXcodeを使用して作成されたアプリは、すべて侵害を受ける可能性があります。

不正なXcode…コードは業界フォーラムを通じて開発者に渡ったとLookoutは報告している。中国の開発者にとって特に魅力的だったのは、Appleから直接公式版をダウンロードするよりも早くGhost版をダウンロードできたことだ。彼らはそれが改変されていることを知らなかったため、それを使ってアプリを作成しApp Storeに提出した際に、Ghostコードがアプリ内に紛れ込んでしまったのだ。

XcodeGhost は何をしますか?

XcodeGhostは正規アプリのバックグラウンドに潜伏し、まるで透明人間がテストでカンニングをするかのように、アプリからデータをマイニングします。感染アプリが起動すると、XcodeGhostはデータの収集を開始します。収集対象には、感染アプリの名前、アプリバンドルID（申請時に設定された開発者とアプリ固有のコード）、デバイスの名前と種類、位置情報と言語情報、ネットワーク情報、そしてデバイスの「identifierForVendor」（同じデバイス上で同じ開発者のアプリを関連付けるのに役立つコード）が含まれます。

トラ猫 — テクノロジー用語にうんざりしているなら、子猫をどうぞ。もし休憩が必要ないとしても、とにかく子猫をどうぞ。
写真：Charles Rondeau/Public Domain Pictures

セキュリティ企業Palo Alto Networksによると、Ghostはこれらの情報を入手すると、それを外部サーバーに送信します。では、この情報をどのように利用するのでしょうか？Palo Alto Networksによると、このマルウェアはサーバーからコマンドを受信する機能を備えており、iOSデバイスに強制的にウェブページを開かせたり、偽のプロンプトを表示してApple IDとパスワードを入力させたりする可能性があるとのことです。さらに、クリップボードのデータにアクセスして、管理アプリに保存されているパスワードを盗む可能性もあるとPalo Alto Networksは述べています。

どのアプリが影響を受けますか?

Ghostは中国の開発者フォーラムを通じて配布されているため、感染アプリのほとんどは中国で開発されています。影響を受けることが確認されているすべてのアプリのリストを作成しましたので、ご自身のアプリが危険にさらされているかどうかご確認ください。

何ができるでしょうか?

これらのアプリを使っている場合は、事前に対策を講じる必要があります。まずは、現在インストールされているアプリをすべて削除してください。ダイアログボックスがどこから来ているのか確認したり、念のためAppleのパスワードを変更したりするなど、その他のヒントについては、便利なヒント集をご覧ください。

初期のApple ID設定をスキップ — しばらく見ていなかったかもしれませんが、もう一度見てみるのも良いかもしれません。

誰がこれをしたのですか?

真相は不明ですが、コード共有サイトGitHubにXcodeGhostの作者を名乗る人物が投稿した記事に、いくつかの可能性が示唆されています。[注: この文章はGoogle翻訳を使用して中国語から翻訳し、読みやすさを重視して修正しました。そのため、誤訳が含まれている可能性があります。]

まず初めに、XcodeGhost によって混乱を招いたことをお詫び申し上げます。XcodeGhost は私自身の実験から生まれたものであり、ソースコードに記載されている通り、脅威となるような動作は一切ありません。

いわゆるXcodeGhostは、実際には何も知らないiOS開発者にとっては見つけるのが困難です。改変されたXcodeコンパイラ設定テキストファイルのコードが読み込まれる可能性があるため、上記のコードを作成し、ネットワークディスクにアップロードしてみました。

コード内のすべてのデータは、実際にはアプリの基本情報（アプリケーション名、アプリケーションバージョン番号、システムバージョン番号、言語、国名、開発者、アプリのインストール時間、デバイス名、デバイスの種類）を取得します。それ以外のデータは収集しません。正直に言うと、私は利己的な理由で、これらのアプリケーションを宣伝するためにコード内の広告機能を使用しました（ソースコードで確認できます）。しかし実際には、最初からサーバーをシャットダウンするまで、広告機能を使用していません。そして10日前にプログラムをサーバーから削除し、すべてのデータを削除しましたが、これは誰にも影響しません。

噂に終止符を打つために行われた、いわゆる「XcodeGhost」は無謀な実験であり、現在は終了しています。

XcodeGhost に感染したアプリはユーザーに影響を与えず、個人データも取得せず、役に立たないコードだけを取得することを強調したいと思います。

改めて心よりお詫び申し上げますとともに、楽しい週末をお過ごし下さいますようお祈り申し上げます。

XcodeGhostステートメント — XcodeGhostの作者とされる人物による原文はこちらです。
写真：GitHub

繰り返しになりますが、この発言がマルウェアの実際の作成者によるものかどうかは不明ですが、もしこれが事実であれば、このハッキングは今後他のアプリに影響を与えることはないはずです。しかしながら、依然として注意を促しています。

XcodeGhost はすべての App Store のアプリに影響しますか?

彼らは、これまで以上に大きく、怒って帰ってきた。 — あの鳥たちには怒る理由がもう一つある。もっとも、彼らには理由が必要だったわけではないが。
写真：Rovio Entertainment

この質問への簡単な答えは、アプリによって異なります。参考になりましたか？

たとえば、開発元 Rovio のゲーム「Angry Birds 2」は影響を受けるゲームの中に挙げられているが、同社は脆弱性があるのは特定のバージョンだけだと主張している。

「Rovioは、中国本土、台湾、香港、マカオのApp Storeでのみ入手可能だったAngry Birds 2の中国版が、セキュリティ問題の影響を受けるiOSアプリの一つであったことを確認しました」とRovioは述べています（AppAdvice経由）。「その他の地域で入手可能なAngry Birds 2のその他のビルドは完全に安全です。」

つまり、開発者がアプリの中国語版ビルドを中国の開発者に外注した場合、その特定のバージョンにはGhostが潜んでいる可能性があります。また、開発者がフォーラムから入手した感染コードを使ってアプリの全バージョンを作成した場合、すべてのバージョンにGhostが潜んでいることになります。しかし、XcodeをAppleから直接入手した場合は安全です。

これについてはケースバイケースで判断する必要があり、かなり混乱しています。しかし、上記のリストにあるアプリがデバイスにインストールされている場合、侵害されている可能性があると想定してください。