SCAN DISPATCH :銀行サイトのログイン情報盗難用ワーム、JailbreakされたiPhoneから発見される | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.13(水)

SCAN DISPATCH :銀行サイトのログイン情報盗難用ワーム、JailbreakされたiPhoneから発見される

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 iPhoneをJailbreak(脱獄)すると、特定の電話番号からの電話をブロックしたり、スライドロック・スクリーンにカレンダーや天気予報を表示したり、その他、App Storeでは入手できないアプリをインストールできる。ユーザにとってiPhoneをより一層便利なツールにする一方、iPhoneに大きなセキュリティの穴を開けることになり、Apple側では度重なるアップデートによりJailbreakの阻止に努めているが、Jailbreakツールの開発者たちは次々に新たな方法を探し出している。最新のOS、3.1.2でもJailbreakは可能である。ちなみに、JailbreakされたiPhoneは、iTunesを使って正規OSにリストアできるが、オフィシャルの携帯会社以外のキャリアで使えるようにするロック解除(unlock)は、これができない点で違っている。

 さて、JailbreakされたiPhoneを対象にしたワームが最初に発見されたのは今年の11月が最初。オーストラリアを中心に広まった「Ikee」ワームがそれだ。これは、iPhoneの壁紙を、80年代に「Never Gonna Give You Up」などの歌で有名になった英国ポップスターのリック・アストリーの顔写真に変え、「ikee is never going to give you up」というメッセージを表示するジョークのワームだった。

 Jailbreakしてアプリをインストールするには、iPhoneにSSHで接続する必要があるが、そのSSHのパスワードがデフォルトの「Alpine」のままになっている場合にこのワームの被害にあった。

 さて、今回新たに見つかったワームは「Duh」と名づけられており、感染されたiPhoneでING Direct銀行のWebページを訪れると、それと全く同じに見える偽のWebページにリダイレクトし、ユーザのログイン情報を盗むもの。オランダを中心にヨーロッパ数カ国のキャリアでこの感染が広がっているという。

 Sophos社によると、ワームは二つのコンポーネントから成り立っている。一つは、IPアドレスをスキャンし感染が可能なiPhoneを発見すると、デフォルトのルートパスワードを使用してSSH接続を行う「sshd」というスクリプト。一度ターゲットになるiPhoneに侵入すると、/private/var/mobile/home というディレクトリを作り、そこにマルウェアをコピーし、同時にランダムな数を被害者のiPhoneに感染IDとしてアサインする。そして、SSHのパスワードを変更して、被害者によるワームの除去を不可能とする。

 二つ目が、「syslog」と「duh」というスクリプトで、5分ごとにリスアニアにあるボットネットのコマンド・アンド・コントロール・サーバにログインし、前記IDとiPhoneのシステム名、IP番号、その他の情報をアップロードすると共に、サーバからその他のスクリプトなどをダウンロードする。またワームは、感染されたiPhoneをボットネット化して、同じWiFiネットワークを使っている他のiPhoneに感染を広げるそうだ。

 SSHのルート・パスワードが変更され感染を除去できない被害者のために、Sophos社のポール・ダックリン氏は、John the Ripperというパスワードクラッカーを使用して、「Duh」ワームがパスワードを「ohshit」に変更することをブログで公開している。

 被害にあった人は…

【執筆:米国 笠原利香】

【関連リンク】
Sophos blog
http://www.sophos.com/blogs/duck/g/2009/11/24/clean-up-iphone-worm/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  7. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  8. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  9. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  10. Mac OS X のシングルユーザモードの root アクセス(2)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×