トレンドマイクロは9月24日、同社のセキュリティブログで、iOSアプリを汚染したXcodeGhostに関する記事を公開した。

AppleのiOS端末向け正規アプリストア「App Store」は、Appleが公開前にアプリを審査し、集中管理を行う、安全なアプリストアと考えられてきたが、不正なコード「XcodeGhost」はApp Store上の複数の正規アプリで確認された。

さまざまなプラットフォーム上で開発するためAppleが提供している正規のツールキットである「Xcode」は、数ギガバイトある上、Appleのサーバへの接続速度が遅いため、中国の開発者にとっては公式サイトからダウンロードすることが困難だった。その結果、中国のiOS向けアプリ開発者の多くは公式サイトから「Xcode」をダウンロードせず、国外よりはるかに高速にアクセスできる、国内のファイル共有サイトにホストされたコピーや、さまざまなオンラインフォーラム上の投稿からコピーを入手していた。

「Xcode」のコピーを宣伝するフォーラムの投稿

こうしたコピーには、不正なコードを含んだ新たなCoreService開発フレームワークが追加され、正規のファイルと置き換えられていたため、この改変ツールで作成されたアプリはすべて汚染されて、あるURLにアクセスするようにされていた。さらに、Xcode 6.4の改変バージョンでは、セキュリティリサーチャーやセキュリティ対策製品の検出を回避するために、不正なURLを隠ぺいしていた。

「XcodeGhost」の作成者は、今回の騒動に対する謝罪文と共にソースコードを公開したが、公開されたコードを検証すると、XcodeGhostが情報を窃取するだけでなく、遠隔でアプリにプッシュ通知を送信できることが判明。XcodeGhostを利用してユーザに通知文を送信することができるため、汚染された端末はApp Storeの指定されたアプリに誘導されるだけでなく、詐欺やフィッシングなどの不正活動に利用される可能性もある。

トレンドマイクロの調査によると、XcodeGhostに最も影響を受けたのは中国だが、北米地域も大きな影響を受けている。

「XcodeGhost」の影響を受けた国

なお、Apple はすでに最新バージョンとしてXcode 7とXcode 7.1のベータ版を提供しており、どちらも正規サイトから入手可能となっている。