本ブログでは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の「Mobile App Reputation(MAR)」からのフィードバック、および、昨年発生した事例の外部の調査データを基に、2016年における世界のモバイル脅威事情を 2回にわたって振り返ります。今回はモバイル端末の脆弱性を利用する攻撃と Apple iOS のセキュリティを崩そうとする攻撃について解説するとともに、今後の脅威予測についてもまとめます。サイバー犯罪者は、次々と確認され公開される脆弱性を利用して攻撃経路の拡大、マルウェアの改良を行いました。2016年を通じ、世界中で脆弱性を利用するマルウェアと「ルート権限取得(ルート化)」するマルウェアが多く確認されると共に、特に Android端末に比べ攻撃が難しいと考えられる iOS端末にも攻撃を仕掛けていきました。
■脆弱性を利用するマルウェアの増加
トレンドマイクロは、2016年、30以上の Android の脆弱性を確認し、Google および Qualcomm に情報を開示しました。これらのセキュリティ上の不具合は、Android のフレームワーク、デバイスドライバ、およびカーネルに存在していました。そのうちの 5つは深刻度「Critical」(4段階中最高)に該当し、悪用された場合、攻撃者がローカルでルート化あるいはリモートでコードの実行が可能になる脆弱性です。弊社が確認した脆弱性の中には、システム管理プロセスに侵入、あるいはカーネルレベルに侵入するために悪用される恐れがある特に重大な脆弱性も 10以上ありました。これらの重大な脆弱性の例として、カーネル暗号化エンジンの脆弱性「CVE-2016-8418」があります。この脆弱性により、攻撃者はリモートでコードを実行することが可能になります。また、悪用された場合にカーネルを危険にさらす可能性がある Android のパフォーマンスシステムモジュールの重大な脆弱性も複数報告しました。これらの脆弱性の報告から Google は、Android のためのセキュリティ対策の追加導入を決定しました。
その他、2016年に公開された Android の脆弱性や脆弱性を利用する攻撃で目立ったものには、「Dirty COW(CVE-2016-5195)」、「Rowhammer(CVE-2016-6728)」、「Drammer」 や「Quadrooter」が挙げられます。すべて、攻撃者によるモバイル端末のルートアクセスを可能にするものでした。
脆弱性の確認が増えるとともに、ルート化するマルウェアや脆弱性を利用する攻撃の経路が拡大しました。権限昇格の脆弱性「CVE-2015-1805」は、ルート化アプリ「Kingroot」に組み込まれ、ダウンロード数が 2億9,000万に達しました。そのソースコードが一般に公開された後、攻撃に利用され続けています。「Godless」(「ANDROIDOS_GODLESS.HRX」として検出)は、いくつかのエクスプロイトコードを含む、オープンソースのルーティングフレームワークを利用していました。「Godless」は 6月までに 85万台を超える Android端末に影響を与え、現在では 7万9,780種類以上の亜種が確認されています。ルート化するエクスプロイトコードを Google Play 公開のアプリの中にも混入させていた「Ghost Push」は、現在 4,383種類の亜種が確認されています。2016年2月に 1,163の亜種が確認された「LibSkin」(「ANDROIDOS_LIBSKIN.A」として検出)も、端末をルート化する機能を備え、ユーザが気付かないうちに他のアプリをダウンロードしてインストールする一方で、ユーザの情報を収集します。
図1:「LibSkin」の表示するポップアップの例
利用者には何のアプリによる表示なのかわからない
■Apple の防御壁を崩すための企み
2016年、Apple の iOS端末に対する攻撃は、マルウェア頒布に対する Apple の厳重な管理をすり抜けることに焦点をあてていました。iOS端末では基本的に正規アプリストアである「AppStore」経由でしかアプリをインストールできず、iOS端末を狙うサイバー犯罪者を阻む強固な壁となっていました。しかし、サイバー犯罪者は既にこの「壁」を迂回する手口を編み出しています。「Jailbreak(脱獄化)」していない iOS端末に不正なコンテンツをダウンロードさせるため、Apple の企業向けの証明書を悪用するのは、よく見られる手口でした。また、脆弱性を突く攻撃も増えており、市場の拡大とともに Apple製品のソフトウェアの脆弱性について報告される機会も増大すると予測されています。
トレンドマイクロが 2016年に確認した不正/迷惑アプリやマルウェアのほとんどに、モバイル端末が利用される地域に則して動作や活動の調整が施されていました。たとえば、「ZergHelper」(「IOS_ZERGHELPER.A」として検出)は、中国の海賊版アプリを頒布するサードパーティのマーケットプレイスとして機能していましたが、他の地域では英語学習アプリとして提供されていました。また、中国のサードパーティのアプリストア「Haima」およびベトナム拠点の「HiStore」も注目されました。これらのマーケットプレイスでは、iOS のいくつかのプロセスと機能を悪用し、iOS のプライバシー保護機能を回避するため脆弱性を利用して、アドウェアを混入したリパックアプリ(「IOS_LANDMINE.A」として検出)が頒布されていました。
図2:サードパーティアプリストア「Haima」での企業向け証明書使用例
これにより「Jailbreak」されていない iOS端末へもアプリインストールが可能となる
iOS端末向けの攻撃経路も多様化しています。例えば、弊社が解析した不正アプリのいくつかは、「ダイナミックライブラリ」のファイル(拡張子「dylib」)を “postfix.PND” に改称し、無害な「Portable Network Graphics(PNG)」の画像ファイルに偽装し、検出を回避していました。アプリ起動後に動的にコードを読み込ませる機能を備える「JsPatch」もまた、Apple の審査プロセスを迂回し、更新プログラムを介して気付かれないうちに不正なコンテンツをアプリに混入させるために悪用されていました。「AceDeceiver」(「IOS_ACEDECEIVER.A」として検出)は、Apple の「デジタル著作権管理(Digital Rights Management、DRM)」対策の設計不具合を利用し、App Store からはすでに削除・ブロック済みであるにも関わらず拡散し続けた点で特徴的でした。弊社は、また、モバイル端末を応答不能にできる、細工された拡張子「.MP4」のファイル(「IOS_CraftDOSMP4.A」として検出)を確認しました。
弊社は、Apple端末の脆弱性についても開示しました。「CVE-2016-1721」および「CVE-2016-4653」の脆弱性は、攻撃者がカーネル権限で任意のコードを実行できる、メモリ破損の脆弱性です。「CVE-2016-4627」および「CVE-2016-4628」は、Apple端末のコンポーネントである「IOAcceleratorFamily」の脆弱性です。「CVE-2016-4606」は、iOS のプライバシーの設定(アクセス許可の管理)におけるデータインヘリタンス(継承)の脆弱性で、「CVE-2016-4659」はアプリのオーバーライド問題の脆弱性です。どちらもリパックアプリの Bundle ID に関連しています。「CVE-2016-7651」は、アプリをアンインストールした後に認証設定がリセットされない問題です。
その他に目立った脆弱性では、iOS端末を脱獄させるために利用できる「CVE-2016-4654」、そして、「CVE-2016-4655」、「CVE-2016-4656」および「CVE-2016-4657」の脆弱性は、攻撃者がリモートで端末をルート化しスパイウェアに感染させるマルウェア「Pegasus(別名Trident)」に攻撃経路として利用されました。
■2017年以降のモバイル状況について
2016年のモバイル脅威事情は、モバイル向けマルウェアが企業に及ぼす混乱、多様な攻撃パターン、拡散の規模と影響範囲の拡大によって特徴づけられました。また、昨年の注目すべき事例からは、端末を人質にして所有者を恐喝するために多くの脆弱性が利用されたことがわかります。「Pokémon GO」、「スーパーマリオラン」、「QQ」(中国で人気の IMアプリ)のような人気ゲームに便乗した偽アプリが、不正なコンテンツを配信するために利用されました。QQ の場合では、符号化形式 UTF-8 のバイトオーダーマーク(BOM)をアプリのラベルに加え、正規のアプリを偽装していました。アドウェアのような PUA も、ユーザの銀行から金銭を窃取したり情報を収集したりするマルウェアを拡散する、継続した脅威となりました。
2015年に公開された脆弱性は、Android のフレームワーク、特にメディアサーバのプロセスに大きく関連していました。しかし、2016年には、カーネルの脆弱性についての情報が多数公開されました。その大部分は、Android端末に搭載されているシステムオンチップ(SOC)の製造メーカであるQualcomm、MediaTech、Nvidia のカーネルドライバでした。また、Android および従来の Linuxシステムのどちらにも使用される上流の Linuxカーネルの不具合が多く観測されました。Android が特定のカーネルドライバや上位レベルのフレームワークを利用している点を考慮すると、追加されたコンポーネントが不具合の影響を受けやすく、つまり Android環境では従来の Linuxシステムよりもセキュリティリスクが高くなる可能性があります。
Google と Qualcomm の独自の脆弱性発見プログラムにより、今年は特にデバイスドライバについて、さらに多くの脆弱性が発見されるものと予想されます。2016年にカーネルセキュリティの不具合が顕著になるにつれて、Linuxカーネルを使用するクロスプラットフォームの脆弱性の確認が増えるかもしれません。さらに、実際に悪用され、攻撃に利用される恐れもあるでしょう。
脅威状況を見ると、モバイル向けランサムウェアのまん延は、2017年には横ばいになる見込みがあります。さらに Android OS はサードパーティのアプリが端末のデータに無制限にアクセスすることを防ぐと同時に、Android Nougat の登場により、モバイル向けランサムウェアに悪用されることのあるいくつかの API を、より安全なものにしています。例えば、現在パスワードが設定されていない場合にのみパスワードを変更できるようになりました。OS は onDisableRequested API を非推奨にし、ユーザがアプリの管理者権限を取り消した場合に、API の使用を不可にしました。マルウェアは、端末のルートアクセスと「Android Debug Bridge(ADB)」を有効にするか、あるいはセーフモードで起動することによっても削除できます。
モバイル状況はプラスとマイナス両方向に進むと言えます。モバイル端末が日常生活やビジネスにおいてますます重要な役割を果たすようになるにつれ、マルウェアや脆弱性も、悪意のある人たちにとっては獲物を狙うために有用なものとなるでしょう。しかし同時に、例えば弊社のモバイル脆弱性調査への継続的な取り組みにも見られる、モバイル端末のセキュリティに対する迅速で熱心な調査が、マルウェア感染、個人および企業データの不正利用を防止することにもなります。規制や法的要件に準拠するため、「Deutsche Bank AG(ドイツ銀行)」は最近、同社発行のモバイル端末上で承認されていない SMS および通信アプリケーションの使用を禁止しました。
アプリ開発者はもとより、端末機器の設計・製造業者も、自社製品やアプリのプライバシーとセキュリティを重視するべき立場にあります。企業や個人ユーザもまた、モバイルの脅威を軽減するためにセキュリティ対策を強化する必要があります。セキュリティリスクを考慮して、不審なアプリのマーケットプレイスに注意し、端末の OS を最新の状態に保ち、良好なセキュリティ習慣を実践するための機会とすることができます。BYOD を導入している企業は、機動性と生産性の面での必要と、プライバシーとセキュリティの重要性とのバランスを取る必要があります。
■トレンドマイクロの対策
トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「モバイルアプリケーションレピュテーション(MAR)」技術や「Webレピュテーション(WRS)」技術により、不正/迷惑アプリの検出や不正/迷惑アプリに関連する不正Webサイトのブロックに対応しています。また、アプリ、データ保護、および環境設定の管理を提供するとともに、脆弱性を利用した攻撃から端末を保護し、不正なアクセスを防止します。
弊社の検出に基づく、2016年の Android端末向けマルウェアの一覧、および弊社が公開した Android および iOS/MacOS の脆弱性の一覧は、こちらを参照してください。
■「2016年を振り返る:世界のモバイル脅威事情」連載他記事リンク:
- 「2016年を振り返る:世界のモバイル脅威事情1・攻撃規模と対象を拡大する不正アプリ」
/archives/14403 - 「2016年を振り返る:世界のモバイル脅威事情2・脆弱性の利用と Apple iOS を狙う攻撃」
/archives/14425
参考記事:
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)
日本語版構成:岡本 勝之(セキュリティエバンジェリスト)