このページの本文へ

新iPhoneが出た今、iPhoneを狙うマルウェアについて知ろう

2016年09月09日 08時00分更新

文● せきゅラボ

  • この記事をはてなブックマークに追加
  • 本文印刷

 9月7日(現地時間)、「iPhone 7」「iPhone 7 Plus」が発表された。1年ぶりの新機種に胸を躍らせている人も多いはず。だが、大きな話題を集めるiPhoneともなれば、攻撃の対象になる可能性は決して低くないだろう。

 アップルが8月25日(現地時間)にリリースした、「iOS 9.3.5」を思い出してほしい。このアップデートは、iOSに存在する脆弱性を突いた「ゼロデイ攻撃」を行なうマルウェアの存在が明らかになったことを受けてのものだ。

 「ゼロデイ」とは脆弱性を解消する手段がない状態で脅威にさらされる状況のこと。脆弱性が発見されて修正プログラムが提供される日(One day、ワンデイ)より前に、その脆弱性を攻略する攻撃を「ゼロデイ攻撃」と呼ぶ。

 問題のマルウェアは、iOSの「メッセージ」アプリに不審なリンクが書かれたメッセージが送られてきた……という報告から、存在が明らかになった。リンクをクリックすると、iOSに存在する脆弱性をつかれ、リモートで端末内のあらゆる情報にアクセスされてしまう危険性がある。

 この脆弱性は、前述のマルウェアが発見されるまで一度も報告されていない、未知のものだった。幸い、アップルが即座にこの脆弱性に対処するセキュリティアップデートをリリースすることで、大規模な被害には至らなかった。

 しかしこれからも、新しいiPhone、そしてiOSを狙った攻撃が出てくることは想像に難くない。セキュリティーへの意識を高めておくことが肝心だ。

 McAfeeブログの「そのSMSは安全ですか? Appleアカウントが盗まれる危険アリ!」をぜひ読んでほしい。iOS 9.3.5がリリースされるきっかけとなったマルウェアと同じく、ユーザーをあざむくメッセージを送り、リンクをクリックさせる手口の攻撃について啓蒙する内容になっている。

そのSMSは安全ですか? Appleアカウントが盗まれる危険アリ!

 インテル セキュリティのモバイルリサーチチームは、最近iOSユーザーを狙いAppleアカウント情報を盗むSMSフィッシング詐欺を確認しました。Appleアカウントが一時的にロックされているというメッセージでユーザーを騙し、フィッシングサイトに誘導してApple IDやパスワードを盗みます。現在でもなお、このフィッシング攻撃が行われていることから特にiOSユーザーは警戒が必要です。

 このフィッシングSMSメッセージは、FRM (送信者)、SUBJ (タイトル)、MSG (メッセージ)といったメールのように構成されており、メッセージに記載されている短縮URL(7月27日に作成されたばかり)をクリックすると、攻撃者のWebサイトにリダイレクトされます。

 さらに、攻撃者はPHPプログラムを使い、端末のWebブラウザやアクセス元の条件に応じて別のWebサイトに誘導します。今回誘導されたWebサイトでは、「Appleアカウントが一時的に停止されているため、Apple社のサイトへ行き “安全に” アカウント情報の再認証を行ってください。」というページが表示されます。

 この偽のWebサイトでは、48時間以内に再認証が完了しないとAppleアカウントが停止されるとしてユーザーを脅し、Apple社へのサイトに行くと見せかけ、攻撃者が用意したフィッシングサイトに誘導するように仕向けています。また興味深い点として、赤字でスパムメールに関する注釈があることから、このフィッシング攻撃は当初メール経由で展開されていたと推測することができます。

 短縮URLサービスの統計情報によると、このSMSフィッシング詐欺に使われた短縮URLは1,700回以上もクリックされており、そのほとんどが7月27日に集中しています。

 さらに、クリックしたユーザーのほとんどがアメリカからであり、メキシコやフィリピンといった国からのアクセスも数件確認されています。このことから、このSMSフィッシング詐欺の主なターゲットがアメリカであることがわかります。

 また、私たちが7月22日に確認した別のフィッシングSMSメッセージについても調査を行いました。

 このとき使われていたフィッシングURLのクリック回数は約6,000回あり、そのほとんどが7月22日に集中していました。この手のフィッシング詐欺は発見されるとリンクが無効化されてしまうため、短期的に終了する傾向があることがわかります。

 このときも、メキシコやドイツからのアクセスされたという情報が数件ありましたが、その大多数はアメリカからであったことから、アメリカのiOSユーザーがSMSフィッシングの狙われて続けていることがわかります。

 また、過去に展開されたSMSフィッシング攻撃でも同様に、FRM (送信者)、SUBJ (タイトル)、MSG (メッセージ) というメール形式のフォーマットで、Appleアカウントが停止したという文句を使ってフィッシングサイトに誘導する攻撃も確認されています。

 大抵のサイバー犯罪者は、システムやアカウントに不正アクセスするために、高度なハッキングスキルを必要としていません。アカウント情報を盗みハッキングを行うためには、ユーザーを騙しフィッシングサイトに誘導するだけで十分なのです。

 私たちがこのようなフィッシングの脅威から自分自身の身を守るためには、なじみのない電話番号からのメッセージは基本的に怪しいと判断し、リンクをクリックする前にメッセージやリンクが正当なものであるかを少し調べるようにしてください。

※本ページの内容は2016年7月28日更新のMcAfee Blog の抄訳です。

カテゴリートップへ