毎年9月、テクノロジー企業の多くは、製品のリリースを行うことを躊躇しがちになる。9月上旬にAppleスペシャルイベントが開かれ、続いて中旬には新OSのリリース、そして下旬には新型iPhoneの発売日があり、ほとんどのニュースはApple関連に割かれてしまうからだ。
そして今年は、iPhone 6s・6s Plusに加えて、新型Apple TV、大型化されたiPad Pro、そしてApple Watchの新作と、盛りだくさんの発表会となった。盛り上がりを見せるAppleニュースの中で、見逃すことができない、非常に重要なセキュリティ上の懸念が持ち上がっていた。
偽物のXcode事件「XcodeGhost」
事の発端は、9月17日、App Storeに配信されているアプリに、マルウェアが含まれていることを、中国の開発者が発見したことから始まる。
XcodeGhostと認識されたこのマルウェアは、アプリの起動時刻やOSのバージョン、端末固有のID、デバイス名、言語設定などの情報を、特定のサーバに送信する機能が備わっている。また、iCloudアカウントのパスワード入力を求めるアラートを用いて、多くの人が決済のクレジットカードと紐付けているApple IDのアカウント情報を乗っ取ることができる。問題のアプリは、中国語圏向けを中心として、約40のアプリに含まれていることがわかった。
原因は、Apple以外のサーバからダウンロードした開発ツールを使用したこと。中国の開発者がたちが、Appleのサーバへの接続速度の遅さから、アプリ開発ツール「Xcode」百度のクラウドサービスにアップロードされたコピーをダウンロードする行動が拡がっていたためだという。
この偽物のXcodeで開発したアプリに、前述のマルウェアが含まれており、App Storeの審査を通過して一般に配布・販売された。これが一連の経緯である。