米国国土安全保障省は11月中旬に iOS 端末を狙ったマルウェア「Masque Attack」に注意するよう警告を発し、複数のメディアも Masque Attack についての記事を掲載している。

トレンドマイクロもまた、同社の公式ブログで、Masque Attack でインストールされた不正アプリが iOS 端末を危険にさらす可能性のある新たな手法を確認した、と報告している。その手法とは、正規のアプリが使用する、暗号化されていない情報にアクセスするものだ。


報告によると、この iOS に対する脅威は、マルウェア「WireLurker」と同様に、企業が「社内用アプリケーション」として独自の iOS アプリを配布する際に使用する「プロビジョニングプロファイル」を悪用し、「JailBreak」(脱獄)していない iOS 端末を攻撃する。

「プロビジョニングプロファイル」とは、企業が、自社で作成したアプリを Apple の承認なしに、iOS 端末にダウンロードできるようにするもの。これらのアプリを、USB を経由して「iTunes」から配布したり、無線転送を通して自社のアプリストアから従業員に配布できる。

WireLurker は、USB 経由で偽のアプリや不正なアプリをインストールしていたのが確認されたが、Masque Attack はより深刻な被害をもたらす。同じ署名鍵や Bundle ID 経由でインストールされたアプリを、不正なアプリと置き換えることができるからだ。そして置き換わった不正なアプリが、個人情報を収集するなど、不正な活動をする可能性がある。

Masque Attack がより深刻な脅威となっているのは、「プロビジョニングプロファイル」が、中国など、サードパーティのアプリストアで使用されていることだそうだ。

iOS が危ない、「Masque Attack」は「プロビジョニングプロファイル」を悪用するマルウェア
「プロビジョニングプロファイル」を介してアプリをインストールするユーザーが目にする通知

中国のあるサードパーティのアプリストアは、Android 端末や iOS 端末に無料でアプリをインストールできるオフライン端末を開発した。iOS 端末でのインストールには、「プロビジョニングプロファイル」を利用する。端末は、空港、映画館やカラオケ店など、人の行き来の多い場所で確認された。こうした端末では簡単にアプリをインストールできるかもしれないが、かわりにセキュリティが侵害される恐れがある。