AppleInsiderスタッフ
· 1分で読めます
人気のインスタグラムプロフィール分析アプリが火曜日、ユーザー名とパスワードを収集するアプリとしてドイツの開発者によってマルウェアとして暴露され、iOS App Storeから削除された。
Twitter ハンドル名 David LR で知られる Peppersoft 開発者によると、「Who Viewed Your Profile — InstaAgent」は、Instagram プロフィール訪問者を監視するアプリを装った悪質なユーザー名とパスワード収集ツールでした。
アプリのコードを詳しく調べたところ、アカウントの機密情報が暗号化されていない状態でリモートサーバー(instagram.zunamedia.com)に送信されていることが明らかになりました。この情報が悪用され、ログインしてユーザーのInstagramフィードに無許可の写真を投稿するケースもありました。David LR氏は、このリモートサーバーはInstagramの公式ネットワークに接続されていないと指摘しています。
InstaAgentはApp Storeから削除される前、カナダやイギリスを含む複数の国で無料アプリとして人気を博しており、何千人ものユーザーが知らず知らずのうちにInstagramの認証情報を渡していたことが示唆されています。具体的な数字は現在入手不可能ですが、開発者は最大50万人のユーザーがダウンロードしたと推測しています。この数字は、本日タイトルを削除したGoogle PlayアプリストアにおけるInstaAgentのパフォーマンスと一致しています。
iOS App Storeには、InstaAgentの成功に乗じようとするInstagramプロフィール分析アプリが現在も公開されています。中には「私のプロフィールを閲覧した人」や「私のInstagramプロフィールを閲覧した人」といった似たようなタイトルのアプリもあり、フェドーラ帽をかぶった影のような人物が描かれたアイコンを掲げているものも少なくありません。Instagramは、サードパーティ製アプリのダウンロード、ログイン、操作を控えるようユーザーに強く呼びかけています。
Apple の審査プロセスを通過したこと自体が懸念材料だが、InstaAgent が注目度の高いアプリ (一部の App Store 地域でトップの成績を収めている) であるにもかかわらず、これほど長い間精査されなかったことの方がおそらくもっと心配だ。
AppleがApp Storeにマルウェアを侵入させた事件は、9月に発生しました。中国の開発者が、Xcodeの改変版を知らずに使用してアプリを開発・アップロードしていた事件です。「XcodeGhost」と呼ばれるこの不正開発プログラムは、正規のアプリに感染し、ユーザーデータをマイニングしていました。Appleは最終的にApp Storeからマルウェアを削除し、ダウンロード時間を短縮するために中国のサーバーで公式Xcodeのコピーをホスティングし始めました。これが、中国の開発者が非公式のソフトウェアバージョンに頼るようになった主な理由です。
