狙われ続けるApple、攻撃者がM1チップ搭載Macの次に狙っているものとは？：606th Lap

Appleが満を持して発表したM1チップ搭載Macを狙う脅威の存在が2021年2月に明らかになったが、Appleを狙う脅威はまだ続く。サイバー攻撃者は、次に何を狙おうというのか。

[キーマンズネット]

　マルウェアの被害はとどまることを知らない。最近も相変わらず「Emotet」が暗躍し、メールを介した古典的な方法で被害者を増やしているという。

　つい最近、Apple製品もサイバー攻撃の標的となり、M1チップ搭載Macを狙う脅威が発見されたばかりだが、Appleを狙う脅威はまだ続く。その恐怖にセキュリティ関係者がザワついているというが、次なるターゲットとは？

　米国のセキュリティソリューション企業SentinelOneは、「XcodeSpy」と呼ばれるApple系アプリ開発者を狙う脅威の存在を公表した。2021年3月18日に同社のセキュリティ部門SentinelLabsのサイトに情報を掲載すると、これをきっかけに、世界中のセキュリティ系およびTech系メディアがこの件を報じた。

　「XcodeSpy」はその名の通り、「Xcode」を悪用するマルウェアだという。Xcodeは「Mac」や「iPhone」「iPad」向けのアプリ開発に特化したApple純正のIDE（統合開発環境）で、以前は「Mac OS X」に付属していた。今は「Appe Store」で提供されており、無償でダウンロードできる。

　攻撃者はまず、「GitHub」などでオープンソースとして公開されているXcodeプロジェクトにXcodeSpyを仕込む。今回XcodeSpyが確認されたのは、iOSのタブバーのアニメーション関連の機能を提供する「TabBarInteraction」というプロジェクトだ。開発者がこのTabBarInteraction経由で初期ビルドをダウンロードすると、スクリプトが動きだして「EggShell」バックドアの亜種がインストールされる。

　当初、TabBarInteractionプロジェクトにはXcodeSpyは仕込まれておらず、開発者も何者かの影響を受けた形跡はなかったと言う。どこかの段階で第三者によってプロジェクトが改変されたと予想されている。

　EggShellのバックドアをまんまと仕込まれた開発者は、利用しているデバイスのカメラやマイク、キーボードなどが乗っ取られ、同時にあらゆるファイルが勝手にアップロード、ダウンロードされ、攻撃者の“やりたい放題”になってしまうという。

　攻撃者たちの意図がGitHubといったWebサイトを利用してXcodeSpyを拡散させることにあるのかと思いきや、意外にもそうではないという。SentinelLabsの調査は「アプリやその利用者ではなく、開発者自身を標的にしている」と分析する。開発者の個人情報や開発環境の情報窃取が狙いの一つなのだろう。しかし、いずれ多くの一般ユーザーがターゲットとなる可能性も否定はできない。

　SentinelLabsは「Xcodeを使う開発者は、ここしばらくオープンソースのXcodeプロジェクトを利用する際は、内部に悪意あるRunスクリプトが潜んでいないかどうかを確認する必要があるだろう」と述べている他、特にアジア地域の開発者に注意を喚起している。

　今回のXcodeSpyの事件は、感染すれば開発者が意図せずして加害者になる可能性もある、油断ならないマルウェアといえるだろう。

上司X：　Xcodeを狙うマルウェア「XcodeSpy」が見つかって大変という話だよ。まったく底意地の悪いマルウェアだ。

ブラックピット：　開発者を狙うんですね。「将を射んと欲すれば先ず馬を射よ」ってことですかね。

上司X：　いや、それはちょっとたとえがおかしいと思うが。

ブラックピット：　開発者を狙うというのは、ひいてはユーザーを狙うということで。でも、やっぱり違いますね。

上司X：　自分で気付いてくれて何より。ともかく、このXcodeSpyはトロイの木馬的なマルウェアで、開発者の環境をまるっと乗っ取りかねない危険度の高いものなんだ。

ブラックピット：　でも、Xcodeって前にも何かに狙われていますよね？

上司X：　そう、「XcodeGhost」ってヤツだな。2015年に中国のミラーサーバで公開されたXcodeに悪意のあるコードが仕込まれていて、開発したアプリが個人情報を容赦なく盗むという事態になった。結構、有名なアプリも感染していたようだね。

ブラックピット：　XcodeGhostの件も、被害者は開発者と言いたいのかもしれませんが、本家のAppleのサーバじゃない野良サーバから怪しいXcodeをダウンロードして使ってる時点で擁護の余地はありませんね。

上司X：　まあ、その通りだな。ただ今回のXcodeSpyの件は仕方ないだろう。今のところ、被害にあったのは米国企業1社のみだというけど、今後は個人の開発者がXcodeSpyの被害者、そして加害者となる可能性もある。XcodeGhostの轍を踏まないよう、Xcodeを使う開発者は注意しておくべきだろうな。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。