| [ASECレポート 2009年11月号:サマリー] Induc の猛威とiPhone 悪性コードの発見 | ||
|---|---|---|
| Admin | 2010-01-27 | |
|
◆悪性コード動向 ◆悪性コード統計 2009年11月の悪性コード統計状況は次のとおりである。  [表1]悪性コード感染報告Top 20 2009年11月の悪性コード感染報告は Win32/Induc が1位を占めており、TextImage/Autorun と Win32/Virut.B が各々2位と3位となった。新規で Top20 に入った悪性コードは全11件である。 ◆モバイルセキュリティに対する脅威の増加 – iPhone ワームが初めて登場 全世界的にスマートフォンの風が吹いている。その代表的な製品がアップル社のiPhoneである。韓国内にも最近リリースされ、マニアの期待が高まっているが、最近、iPhoneで初めてのワーム(Worm)が発見された。オーストラリアで発見されたこのワームはイキー(Ikee)と呼ばれ、トップ画面を80年代の歌手リック・アストリーの写真に変えて他のiPhoneにも感染させる。 今回のワームはすべてのiPhoneに影響を及ぼすのではなく、Jailbroken がインストールされた iPhoneに限定される。これは、ハッキングされたバージョンのiPhone OSで、ユーザーが任意のプログラムをインストールできるようにする。この Jailbroken がインストールされると多様なサービスが動作するようになるが、その中の SSH サービスがリモートによるルート権限でアクセスされるように許可されていた。基本パスワードが設定されており、ワームはこの脆弱性を利用して感染を試みる。SSH サービスはリモートターミナルのアクセスプログラムで telnet と違い安全な通信を保障する。しかし、その基本パスワードが今回の問題を引き起こすこととなった。  [図2] Ikeeワームに感染したiPhoneの背景画面 今回のワームの動作は簡単なタイプであるため、初期のコンピュータで発生したワームと同じレベルである。コードに登録された特定 IP アドレスを対象にスキャニングを試みるが、該当 IP はオーストリアにある豪州の 3G 使用顧客である。SSH サービスによってログインに成功すると、このワームはファイルをコピーして他の攻撃者によるアクセスを防ぐために SSH サービスを停止する。次の図はワームのソースコードにハードコーディングされた IP アドレス帯域の一部である。  [図3] iPhone ワームコードの一部 幸い、今回のワームはファイル削除などのような大規模の被害を与える機能は含んでいなかった。しかし、今回初めてのワームが発表された後、同じ脆弱性を利用した2番目のワームがまた登場した。これにより、モバイルセキュリティに対する憂慮が現実化している。韓国内もすでに iPhone のリリースによってスマートフォンユーザーの割合が増えると予想されるだけに、スマートフォンに対するセキュリティ脅威に対する準備も徐々に準備していかなければならないだろう。 [出典] AhnLab Security Emergency response Center |
||
