過去最大20万台以上の脱獄済みiOS端末がマルウェアに感染、アカウント情報が流出したと判明

セキュリティ対策会社Palo Alto Networksが、日本を含む世界中の22万5000を超えるiOS端末がマルウェア「KeyRaider」に感染していると公表しました。KeyRaiderはジェイルブレイクしたiPhoneやiPadにのみ感染するとのことですが、感染することで外部から端末をロックしたり、アプリ購入履歴を盗んだり、ユーザーに無断でアプリを購入したりできると指摘されています。

KeyRaider: iOS Malware Steals Over 225,000 Apple Accounts to Create Free App Utopia - Palo Alto Networks BlogPalo Alto Networks Blog
http://researchcenter.paloaltonetworks.com/2015/08/keyraider-ios-malware-steals-over-225000-apple-accounts-to-create-free-app-utopia/

ユーザーからiOSの脆弱性に関する報告を受けたWeipTechが独自に調査したところ、22万5000のアカウントがAppleサーバーからパスワード情報を盗まれたことが分かりました。なお、パスワードを盗まれたiOS端末は、すべてジェイルブレイクされた端末だったのこと。

そこでPalo Alto NetworksがWeipTechと共同で今回パスワードが流出した端末を解析した結果、92種類のマルウェアサンプルを抽出することに成功。20万件以上という過去最大のアカウント情報を流出させたマルウェアは「KeyRaider」と命名されました。

調査からKeyRaiderはCydia StoreというApp Storeの認証を通過していないアプリを配布するストアを経由して感染したことが判明。感染は世界中に広まっており、現時点で中国、台湾、フランス、ロシア、日本、イギリス、アメリカ、カナダ、ドイツ、オランダ、オーストラリア、イスラエル、イタリア、スペイン、シンガポール、韓国、チェコ、ベトナム、ポーランド、シンガポールの18カ国のユーザーの端末に影響を与えていると見られています。

Palo Alto NetworksによるとKeyRaiderに感染することで生じ得る被害として、iTunesのトラフィックを傍受されてAppleアカウントのユーザーネーム、パスワード、デバイスの固有情報であるGUIDを盗み出されること、プッシュ通知サービスの証明書と秘密鍵を盗み出されること、App Storeのアプリ購入履歴情報を外部に共有されること、端末のリモートロック機能が無効にされ外部から端末がロックされたりすることなどが指摘されています。

KeyRaiderの原作者としての疑いが濃厚な「mischa07」というユーザー。

3万回以上ダウンロードされたマルウェア入りアプリも見つかっています。

ジェイルブレイク端末ゆえに、Apple非認証のマルウェア入りアプリをインストールできてしまうことに。

KeyRaiderが使っているユーザーデータの送信先として「top100.gotoip4.com」「www.wushidou.cn」の2つのサーバーが特定されており、これらのサーバーのIPアドレスは「113.10.174.167」とのこと。

「ロックを解除して欲しければ電話しろ」という脅迫を受けるユーザーも現れています。