Apple の iOS および OS X プラットフォームは、Google の Android や Microsoft の Windows を悩ませているマルウェア感染の蔓延によって直接影響を受けることはありませんが、パッチが適用されていない脆弱なシステムを狙ったボットネットの復活による副次的な被害や煙幕が示すように、被害に遭わないというわけではありません。
TechCrunchの John Biggs 氏のレポートでは、先月当局によって閉鎖されたにもかかわらず、大規模な Windows ボットネットが窃盗犯によって再利用され、ハッキング中に詐欺被害者が自分のアカウントにアクセスできないようにするための煙幕として利用されている様子が詳しく述べられています。
Windows や Android (現在、モバイル マルウェア全体の 99% を占める) などの安全でないプラットフォームの「オープン性」により、セキュリティ更新を受け取る可能性が低い大量のローエンド デバイスで大規模な感染が発生しています。
アップデートがないのは悪いことじゃないよ、いいかい?
昨年7月、米国政府の「Android OSを使用するモバイルデバイスへの脅威」と題する報告書は、Androidは「その市場シェアとオープンソースアーキテクチャのために、マルウェア攻撃の主な標的であり続けている」と警告し、「モバイルOSにパッチを適用し、最新の状態に保つことがこれまで以上に重要になっている」と述べた。
1年経った今でも、Googleは、Google PlayにアクセスするアクティブなAndroidユーザーの53.4%以上が、いまだに「Ice Cream Sandwich」、「Gingerbread」、またはAndroid 4.2より前のエディションを使用しており、これらのバージョンには「後のバージョンで修正されたセキュリティ上の脆弱性がいくつか残っている」と報告している。
Android WebView の脆弱性について、 Ars Technicaの Dan Goodin 氏が先日詳細を報じました。Google は Android 4.2 でこの脆弱性を修正しましたが、Google が発表した Play ストアのアクティブユーザーベースのデータによると、今週時点で修正プログラムをインストールしたユーザーはわずか 46.6% です。Google 自身のアプリエコシステム以外では、この脆弱性はさらに広範囲に及んでいます。
グッドイン氏は、「WebViewの脆弱性により、攻撃者はAndroidブラウザ、そして場合によっては他のアプリに悪意のあるJavaScriptを挿入することが可能になります。その結果、攻撃者は標的のプログラムと同等のレベルの制御権を獲得できるようになります。このバグを悪用する最も簡単な方法は、脆弱なユーザーを罠を仕掛けたウェブページに誘導することです。数秒以内に、サイト運営者はスマートフォンのファイルシステムとカメラにアクセスできるリモートシェルウィンドウを取得します。場合によっては、被害者が安全でないWi-Fiネットワークに接続している際に中間者攻撃を実行することで、この脆弱性を悪用できることもあります。アプリの更新プロセスを乗っ取ることで、攻撃者はSDカードや地理データへのアクセス権限など、アプリに既に付与されているリソースの制御権を獲得できます。」と述べています。
侵害を受けたPCやDroidユーザーは、自分のデバイスが他者に危害を加える行為に利用されていることに気づいていないことがよくあります。例えば、分散型サービス拒否攻撃(DDoS攻撃)は、より標的を絞ったオンライン攻撃の隠れ蓑として利用されます。さらに、これらのボットネットによって生じた被害は、セキュリティ保護されたプラットフォーム上のユーザーへの攻撃や混乱にも利用される可能性があります。
ますます巧妙化する攻撃は安全でないプラットフォームから始まる
ZeuSボットネットは、米国だけで360万台のPCが含まれているとみられる感染Windowsマシンのネットワークで、2010年にFBIによって公に標的にされた。当時、このトロイの木馬型マルウェアはユーザーの認証情報を秘密裏に取得するために使用され、運営者はそれを使って被害者の銀行口座にアクセスし、盗み取っていた。
2013年、Wiredは、EyeSpyとZeuSによる悪意あるソフトウェアの大量感染の首謀者と目される24歳のアルジェリア人、ハムザ・ベンデラジが逮捕され、彼のマルウェアネットワークが閉鎖されたと報じた。
しかし、ZeuS コンポーネントは後に、感染の追跡を困難にするために強化され暗号化されたピアツーピア通信を備えた「Gameover Zeus」という新しい形で再登場しました。
6月に米国司法省は、法執行機関の世界規模の協力により、企業や消費者から数百万ドルを盗み出した世界規模のボットネットと、秘密裏にハードドライブを暗号化し、ユーザーに自分のファイルやデータへのアクセスを与える代わりに金銭を要求する複雑なランサムウェア計画を壊滅させた作戦の一環として、感染の集中管理を打破したと発表した。
司法省刑事局のレスリー・R・コールドウェル司法次官は当時、「これらの計画は非常に洗練されており、莫大な利益をもたらすものであり、サイバー犯罪者は容易にアクセスしたり妨害したりできるようにはしていなかった」と述べた。
捜査では30歳のロシア人エフゲニー・ミハイロビッチ・ボガチェフが起訴され、「ロシアとウクライナに拠点を置く緊密なサイバー犯罪組織のリーダー」と特定された。
安全でないプラットフォームのパッチ未適用ユーザーがボットネットの復活を許す
しかし、Gameover Zeus ボットネットが閉鎖されてから 1 か月後、このボットネットは電子メールのスパム配信で再び現れ、安全な銀行通信を有効にするために「securedoc.html」をインストールするようユーザーに求める偽のメッセージであると Malcovery Security によって特定されました。
「オリジナルのGameOver Zeusでは、ドメイン生成アルゴリズムとそれに関連するコマンドおよび制御リソースが、感染したマシンに命令を配布するこのマルウェアの主な手段であるピアツーピアボットネットへのフォールバックとしてボットネットに機能しています」とサイトで説明されている。
「ドメイン生成アルゴリズムに関連付けられたウェブサイトを使用して、GameOverボットネット運営者は、ピアツーピアボットネットが接続を失った感染マシンにコマンドを配布する可能性があります」と付け加え、「C&Cに接続した後にドロップされ、Internet Explorerに挿入されるバイナリには、識別を困難にするためにランダムに名前が付けられます」と指摘した。
Malcoveryはさらに、「GameOverボットネットを復活させようとする試みに関与していると考えられるコマンドアンドコントロールホストを複数特定した」と付け加えた。「これらのホストのいずれかと接触した後、マルウェアはGameOverトロイの木馬に特徴的な動作を示し始めた。これには、Webインジェクション、フォームグラブ、その他の情報窃取機能のためにマルウェアが標的とするURLとURLサブストリングの特徴的なリストが含まれる」
Appleの強固なセキュリティ体制
Appleは、今月6年前にApp Storeが誕生した際、その初期設計にアプリ署名やその他のセキュリティ対策を盛り込むなど、セキュリティをOS XおよびiOSプラットフォームの重要なセールスポイントに据えてきた。
Appleは、750億回に及ぶアプリダウンロードを通じて、前例のない規模とスピードでセキュリティ脆弱性への対応とパッチ適用を行ってきました。昨年秋のiOS 7の配信後、6月時点でユーザーの89%がインストール済みであるとAppleは発表しています。その後数ヶ月にわたり、Appleは発見された脆弱性に対し、迅速に暫定パッチをリリースしてきました。その中には、ほとんどのユーザーが問題に気付く前に7.0.6アップデートで修正したSSL認証の脆弱性も含まれています。
ロイターの記者ジョセフ・メン氏がこの欠陥について誤解を招く攻撃記事を書いたときには、すでにアップル社が修正プログラムをリリースしていたことを認めざるを得なかった。
さらに、Apple は iOS 7 のユーザーの 89 % に対してこの欠陥を修正しただけでなく、iOS 7 にアップグレードしていない、またはアップグレードできない残りの 9 % に対応する iOS 6.1.6 アップデートも同時にリリースしました。
同時に、 2月にArsが説明したはるかに深刻なAndroidの欠陥は、影響を受けるほとんどのAndroidユーザーが入手することさえできない。なぜなら、Googleが、ユーザーが使用している古いバージョンのAndroidにパッチを適用することを拒否しており、Androidデバイスの販売で利益を得ているメーカーも通信事業者も、アップグレードできない大多数のAndroidインストールベースに、パッチを適用した新しいバージョンのAndroidを提供する必要性を感じていないからだ。
マイクロソフトは、過去 15 年間、Windows が稼働する何億台もの PC のセキュリティ確保に奔走してきた。その一因は、かつて Apple が絶え間なく展開していた「Get a Mac」広告だった。この広告では、Mac ユーザーが享受している比較的穏やかなセキュリティとは対照的に、PC が抱える恥ずかしいセキュリティとプライバシーの問題を指摘していた。
これまでのところ、Appleは自社のiOSデバイスにおいて、Androidに対する圧倒的なセキュリティ優位性をほとんどアピールしていません。しかしながら、企業や政府機関はこの問題を十分に認識しており、その結果、導入指標はAppleが企業向けモバイルデバイスでリードを維持し、iPadによるビジネス利用向けタブレットの導入を事実上独占していることを示しています。Good Technologyは5月に、顧客が導入するカスタム企業アプリの93%がiOS向けに開発されていると報告しました。
