JailBreakしたiPhoneのID/パスワードが22万件見つかる

モバイル

Appleアカウントのパスワード情報が22万5千件、インターネット上のサーバーに見つかりました。過去最大級の流出になっていますが、これで全部ではないと思われます。

Alcatraz-island

Appleアカウント

AppleのMacやiPhone、iPadなどのアプリ情報や購入した音楽などの情報を管理するアカウントです。

Apple製品は初代iPadを持っていた(が使っていなかった)だけなのでさっぱり分かりません。

iPhoneとAndroidのストアの違い

iPhoneやiPad、iPodで使われれるアプリを配布しているサイトは「App Store」と呼ばれています。Androidは「Play Store」(少し前までPlay Store)です。

どちらも、認証されることで配布することができるようになりますが、AppleのApp Storeのほうが審査が厳しく、ちょくちょく配布が停止されるアプリがあります。

双方の大きな違いは、iPhoneは「App Store」からしかアプリのインストールができない点にあります。

Androidでは、「Play Store」以外にも携帯キャリアが運営するアプリ配布サイトからもインストールできますし、ウェブ上からダウンロードしたアプリをインストールすることもできます。(ただし、設定は必要)

アプリの「危険性」

Androidでは、どこの誰が改変したかも分からないアプリを入れることができるために一般的にはiPhoneのほうがセキュリティに優れていると考えられています。

しかし、公式「App Store」で配布されているアプリの中にも、マルウェアが紛れていることが分かっています。

App Storeでもマルウェア見つかる - LookoutがiOSの安全神話に"待った"
米Lookoutはこのほど、iPhoneをはじめとするiOS端末への脅威の状況を調査し、その結果を発表した。

非公式アプリの需要

「App Store」のアプリだけで満足できることも多いでしょう。ただし、問題があります。

アプリが何らかのポリシー違反で配布停止になっていたり、開発終了でダウンロードができなくなってしまった場合、一度アンインストールしてしまうと入れられなくなるのです。

Androidでも同様なのですが、Androidの場合にはアプリのパッケージ(APK)をバックアップしておくことができ、そこからアプリを再インストールできます。

一度、この問題に行き当たったことがあれば非公式でもアプリを入れたくなる気持ちが分かると思います。

脱獄:Jailbreak

そこで登場するのが、脱獄(Jailbreak)と呼ばれる方法です。Jailは「牢獄」、breakは「破る」を意味する英語です。つまり、牢破り=脱獄、と訳されている行為によって、非公式アプリをインストールできるようにしたり、SIMロックを解除したりといったことを可能にしています。

これはAppleに認められていない方法で、iPhoneが出たころからずっと、新しいOSが出るたびに新しいJailbreak方法が編み出されるという「いたちごっこ」が続いています。

Jailbreakの問題点

JailbreakはAppleが認めていないということだけではなく、方法にも問題があります。iOS上に残った脆弱性をつくことでAppleが意図しない動作をさせる方法ですので、いつか対策されてしまいます。さらに、「OS上の脆弱性で意図しない動作」というのはそのままウイルスやマルウェアの挙動です。

Jailbreakに使ったプログラムに、マルウェアが仕込まれていないという保障がないのです。

KeyRaider

2015年9月1日、JailbreakしたiPhoneに感染するマルウェアが大量に発見されたと報告されました。

脱獄 iPhoneに感染する KeyRaider 、22万台のApple IDを盗む。強制ロックで金銭要求も - Engadget 日本版
  セキュリティ対策企業パロアルトネットワークスが、iOS 端末 から Apple ID を盗み出すマルウェア「KeyRaider」を警告しています。KeyRaider は

これは、JailbreakしたiOS用のアプリストア「Cydia」のアプリに仕込まれていたようです。22万5千件のアカウント情報が流出していたことが確認されています。

勝手に脱獄

Jailbreakしていない人には、対岸の火事と思われるかもしれません。それは幻想です。

Jailbreakせずに普通に使っているiPhoneを、遠隔操作でJailbreakしてハッキングするツールが存在するからです。

301 Moved Permanently

イタリアのツール制作会社が作ったソフトウェアがよく取り上げられていますが、他にもあるようです。顧客は、政府機関などのようですが、最近、この会社がハッキングされて顧客情報が流出しました。

伊ハッキングツール開発会社がハッキング被害、なぜ韓国で大騒ぎになったか
 韓国メディアは、この陸軍部隊は韓国の国家情報機関ではないか、韓国の情報機関は誰を監視するためにハッキングツールを購入したのかなど、真相を追求すべきだと報道した。7月10日付けの世界日報によると、Hacking Teamは、自社のハッキングツールは現存するあらゆるICTセキュリティシステムを破って監視できる、痕跡を残さ...

世も末です。

普通の人はターゲットにならないかもしれませんが、なるかもしれません。

コメント

タイトルとURLをコピーしました