100以上のアプリが感染していると推定され、遂に Apple 社も公式にその存在を認めることとなった、XCodeGhost マルウエア。これを見ると、Apple の iOS 安全神話も遂に終わったかと目の前が真っ暗になった方も多いかもしれない。

XcodeGhost はそもそも何者なのか？何故突然 100 以上ものアプリが感染しているという話しになったのか？それは、中国のネットワーク事情の問題で国外のサイトから 3G を超えるサイズのファイルのダウンロードするととんでもなく時間がかかることの対策として、iOS 開発ツールである XCode を国内のサーバーに置いて使おうよという雄志が実はとんでもないハッカーだったことから起きた。

実は iCloud のアカウントが 22万件流出したとされる KeyRaider と同じ種類なのではないかとも言われている。これは JailBreak （脱獄）した iOS デバイスを狙ったバックドア付きのマルウエアアプリなのだが、今回問題となっているアプリはどれもこれもまともなアプリが多いという差はあれ、情報が送られているサーバーは同じだった。

感染したアプリをあげると、有名な WeChat や、雑誌やホワイトボードなどをパッと撮影して台形補正してブック形式に保存できる CamScanner や名刺管理の CamCard 、WinZip や、PDF Reader 、かの有名なゲームタイトル Angry Birds や CANDY SODA などなど、え、それ私使ってますけど？という有名なアプリも数多く含まれていて、混乱は広がるばかりである。

今回の悩ましいポイントは作者側には悪意がなく、使った開発ツールのライブラリが改ざんされていたことによって、公開したアプリにマルウエアが仕込まれてしまったということにある。

問題はここだ。iOS アプリはサンドボックスという仕組みによって、アプリから他のアプリの内容を書き換えたり、システムの一部を書き換えるようなことは出来ない。脱獄しているとここが緩くなるため、システムの一部を書き換えられて特定動作する機能は全てバックドアとして情報を引っこ抜かれるような恐れが出るが、脱獄していない iOS で Xcode Ghost には何ができるのだろうか？

• 動作しているアプリケーションの情報と、取得可能なシステムの情報が任意のサーバーに送信される。
• 例えば突然 iOS のシステムが iCloud のパスワードを聞いてくるダイアログを表示したりする、ユーザーは何の疑問も抱かずにパスワードを入力するだろう。それはサーバーに送信されてしまう。そういえば、最近なんか突然 iCloud パスワード再入力求められたなという方は、iCloud のパスワードを変更した方が良いかもしれない。
• クリップボードの情報を読み取ったり、クリップボードに情報を書き込んだりする。得に Ever note などのメモアプリでパスワード管理している方は、コピーすることが多いだろう。コピーしたパスワードはサーバーに送信された可能性がある。
• URL スキーマーを悪用して他のアプリケーションを介した情報送信など行う。例えばメールに記載された URL や、個人情報などを他アプリを経由して送信される恐れがある。
  

ここに公開されている感染アプリリストを見ると、中国での出来事なのでやはり中国語タイトルが多いのは事実だが、中国発でも CamScanner や CamCard など有名なアプリも多く存在している。CamScanner などは既に XCodeGhost 問題に対策したリビルドバージョンをアップデート公開しているので、アップデート内容を確認してアップデートするとともに、ここに含まれていて暫くアップデートがないようなアプリは念のためアプリを削除しておくほうが良いだろう。

最終的にはこの XCodeGhost でどのくらいのアプリが作られているのかまだ実態が把握出来ていない。そのため今後もリストは増える可能性があることに留意して、暫くこの問題は注視することにしたい。一応 Apple 社も公式にこの件を認め、既に不正なアプリは AppStore からも削除していることから、これ以上問題が大きくなることもなさそうだが、突然の パスワード入力などは十分に気をつけていただきたい。

少なくとも以下のことは心配しなくて良いので言っておきたい事と対策は以下の通り。

• もし突然 iCloud のパスワードを聞かれるダイアログが表示されたら一端キャンセルして現在利用中のアプリを全て終了させた上で設定アイコンの iCloud からパスワードの再入力を必要があれば行う。
  
• 感染しているアプリから他のアプリに感染する恐れはない
  
• システムが書き換えられてどんな安全なアプリからの情報も盗まれてしまうような恐れもない
• 感染したアプリが勝手に動き出すようなことはない（自分が起動しない限り）
• （対策）感染したアプリは一端別なフォルダーに移して利用しないか削除しておく
• （対策）感染していると判明したアプリはアップデート対策されるのを待つ（作者に悪意は無いので気付いたアプリはどんどん修正されています）
• （対策）アプリは利用し終わったらホームボタンを２回押しで、タスクリストを表示してどんどんメモリーから解放しておくべし！（これ重要）
  
• （対策）もし iCloud のパスワードこの前入れさせられたなー？という方は、iCloud のパスワード変更をしておく。
  

何にしてもAppleも既に対策は講じている状況なので、いたずらに騒がずに上記のことを守ってお使いいただければ安全性は担保される筈である。

iOS 9 が 17日の深夜2時から公開された。得に大きな問題は出ていないようだが、予定されていた WatchOS 2 のリリースは延期となった。iOS 9 では、バッテリーの保ちが今までよりも＋1時間程改善されたた他、メモが大幅なアップデートがなされ、Evernote や OneNote を意識した画像やタグ付けが可能な記憶メモアプリに進化している。
iPad では、マルチタスキング機能が大幅なアップデートがなされており、同時に２つのアプリケーションを動作させることが可能となったスプリットビューの他、ピクチャー・イン・ピクチャーという機能ではSafariで閲覧している動画をフロートモードで視聴できるようにする機能が追加された。Windows で言うところの「常にデスクトップの手前にウィンドウを配置」という機能の動画版だと思えばいい。指で動画ウィンドウだけ移動したり、一旦画面の端においやっておくなどの使い方ができる。因みに今のところ Safari以外のアプリケーションやカメラロールにある動画などは対象とならない。またマルチタスキング機能では、画面を分割した形で同時に２つのことが行える。ビジネスでは指示書を見ながら、報告書を右側に表示して入力していくなど今まで切り替えなければなかった作業が１つの画面でできるようになるため、可能性は広がりそうだ。但し、このマルチタスキング機能もアプリ側での対応がなされていないと、正常に分割された画面での表示がされない（切れた形になる）ので、対応されたアプリを使うことが必要だ。

iOS 9 はかなりメモリーの使用効率が良くなっているようで、裏に回ったアプリが再起動状態になるようなことが非常に少なくなって快適になっている。またバッテリー利用も1時間程度良くなっているという。
さらに、24日には Apple Watch 用 WatchOS2 と、小規模なバグに対応した iSO 9.01 も登場した。iOS 9.01 は iOS 9 へのアップグレード時に、「スライドでアップグレード」という画面がフリーズして何もできなくなってしまうという問題が一部の端末で発生しており、これの緊急アップデートとして発表されたような形。それ以外にも、ちょっと気になる APN設定をプロファイルでやるとモバイルデータが失われるという件は、MVNO ユーザーや、法人ユーザーで閉域網サービスなどを使っているユーザーに影響のありそうな問題で、今回はセキュリティアップデート情報なども来る前に iOS アップデートが行われたくらいなので、相当な緊急性と判断されたのだろう。

• アップデート後に設定アシスタントを完了できないことがある問題を修正
• アラームやタイマーが鳴らないことがある問題を修正
• Safariや写真でビデオを一時停止すると停止中のフレームが歪んで表示される問題を修正
• プロファイルを使用してカスタムAPNを設定するとモバイルデータが失われる問題を修正

そして、WatchOS2 のアップデート。アップデートするには iOS9 のiPhoneが Wi-Fi接続された状態で、充電された状態でバッテリーが50%以上のAppleWatch が必要とのこと。アップデートには３時間以上はかかると思った方がいいので、ゆっくり作業できる時にやっていただきたい。（アップデートサイズが500M程度なので移動中にとか絶対やめてください）
セキュリティ的には ApplePay の支払い情報が盗み取られる可能性に関する問題、悪意のある音源を再生することで端末が異常終了する Audio 問題他、多くの内部処理に関して強化が図られている。機能的に見てみると

• 文字盤に新たに、香港、ロンドン、マック湖、NY、上海、パリのタイムラプスビデオが追加
• 文字盤に手首をあげる旅にカメラロールから写真を表示する Live Photo
• 竜頭を回すと過去、現在、未来の情報が簡単に閲覧できるタイムトラベル機能
  
• 充電しながら横置きするとナイトスタンドモードに
• さらに９つの色数が増えマルチカラーモジュラー文字盤
• 情報のマッシュアップとして１画面の中に複数のアプリの情報をコンプリケーションとして表示が可能に
• Siri に、特定ワークアウトの開始、公共交通機関での経路検索、グランスの表示を指示可能に
• FaceTime の音声通話が時計で出来るようになった
• 音声でのメール返信が可能に
• HomeKit サポートで音声による自宅内デバイスを操作
• オーストラリア、ベルギー、ノルウェーでのサポートを追加
• AppleWatch 内のサードパーティアプリで記録した　ワークアウトデータをアクティビティリングに追加
• iPhone アクティビティ、AppleWatch アクティビティリング、ワークアウトデータ、目標達成を共有可能に
• ワークアウトの週ごとの概要をオンデマンド表示
• アクティビティ通知を終日消音
• ワークアウトデータを自動保存
• Apple Pay に Discover カードを追加
• Apple Pay で、ポイントカード、店用クレジットカード、デビットカードのサポート
• Apple Watch 内のサードパーティアプリから Wallet にパスを直接追加
• 連絡先に12人を超える友達を AppleWatch から直接追加可能に
• 連絡先の友達をグループでまとめることが可能に
• 複数の色で描いたスケッチを送信可能に
• アニメ絵文字の新しいオプションを追加
• 交通機関表示で、主要都市の路線、駅、複数交通手段での経路検索
• 現在の検索での経路リストを表示
• 駅の出発案内情報を表示
• ミュージックに Beats1 ボタンが追加され、24時間オンエアラジオを受信可能に
• Quick Play ボタンで Apple Music の様々な曲を再生
• メールへの返信が音声、絵文字、メール用の定型文書から返信可能に
• iPhone が近くになくても WiFi 通話をサポート
• アクティベーションロックのサポートで問う何時の不正使用を防止
• AppleWatch 用のネイティブアプリが動作するように
• 開発者向けに多くの　Apple Watch機能の制御を提供
  

4月24日に発売が開始される Apple Watch にあわせて、iOS 8.2がリリースされた。（開発者向けには既に 8.3 βも用意されている）毎度毎度悩ましいのは、 iOS のアップデートを当てるべきかどうか？という問題である。

エンタープライズの世界では、多くの iOS デバイスが広い範囲で利用されており、これらを統合的にアップデート管理ができないことから、毎度毎度 iOS がアップデートされる度に持ち上がるのは「アップデートすべきなのか？」という問いなのだ。

実際には MDM ベンダーからのサポート状況などを勘案する必要が最低限はあるにせよ、今回の iOS 8.2 はなべくなら当てた方が良いと判断するに足る、バグ修正や、セキュリティアップデートが多く含まれている。

1. CoreTelephony 問題
   リモート攻撃者が予期せぬリスタートを発生できてしまう可能性（SMSでの Nullポインタ参照脆弱性）
   CVE-2015-1063 : Roman Digerberg, Sweden
2. iCloud Keychain 問題
   特権的ネットワークにある場合に任意のコードが実行されてしまう問題（バッファーオーバーフロー脆弱性）
   CVE-2015-1065 : Andrey Belenko of NowSecure
3. IOSurface 問題
   悪意のある app が任意のコードを実行できる可能性（変数の型オーバーフロー脆弱性）
   CVE-2015-1061 : Ian Beer of Google Project Zero
4. MobileStorageMounter 問題
   悪意のある app が信頼されたシステムエリアにフォルダーを作成できてしまう可能性（削除中のディスクマウント脆弱性）
   CVE-2015-1062 : TaiG Jailbreak Team
5. Secure Transport 問題
   SSL/TLS 通信を第三者に傍受されてしまう可能性（TLS/SSLプロトコルに1990年代米暗号輸出規制に起因する脆弱性。FREAK問題として有名）
   CVE-2015-1067 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti, and Jean Karim Zinzindohoue of Prosecco at Inria Paris
6. Springboard 問題
   iOS のホーム画面を司る MacOSX の Finder に相当する Springboard がアクティブではないときに表示されてしまう問題（非アクティブなデバイス操作の脆弱性）
   CVE-2015-1064

5. の FREAK 問題は Safari やその他のブラウザでの SSL 通信やメール通信が傍受されてしまう危険性があるわけで、512ビット暗号鍵は現在では7時間程度で復号化ができてしまうということであるから、やはり iOS 8.2 は当てておいた方が安心だという結論だ。また、3. や 4. は Apple TV や MacOSX にも共通するセキュリティ問題であるから、同様に対象デバイスの OS もアップデートされることをお勧めする。

今回のアップデートは 8.1.3 にアップデートしている方なら、そんなに時間がかからずに容量も多くを要求されずに完了する筈である。その他、 Apple Watch への対応や、Health Kit のアップデート、さらにはメール、カレンダーを含む多くのバグが修正されている。なので、「当てるべきですか？」と聞かれたら、「MDMベンダーに確認の上、なるべく早く当てた方が良いですよ」というのが私の回答である。

*2015/2/2 更新

iOS 8.1.3 だが、iPad でマルチタッチのジェスチャーが効かない不具合、FaceTime に接続できない不具合や、Spotlight 検索で app store の検索結果が表示されない不具合が解消されている他、膨大なストレージの空きを要求していた問題も改善されているらしい。しかし 8.1.2 のアップデートの時にもいたが、一部の人は突然 iOS デバイスが Recovery Mode になってしまって、泣く泣くデバイスの中身を全部消してリカバリー（バックアップすら無い人は初期化）してる方も何名か出ているので、ネットワークの良い環境で、時間があるときにアップデートされることをお勧めする。

さて、やっとこ OSX Yosemite 10.10.2 の正式なアップデートがリリースされた！
OSX Yosemite 10.10.1 でトラックパッドを触ると Google Chrome が Crash するというクラッシュ問題、Webページのロードがどんどん遅くなる問題というのも解消された筈だ。（万歳）
Wi-Fi 接続の問題や Bluetooth オーディオ接続の問題も改善されてるということだ。

しかし、まだまだ Yosemite はメールや TimeMachine に問題があったりと忙しい。特にメールは smtp 処理に問題があってなかなか難儀なバグである。（何故か gmail の処理に問題があったり、Chrome がクラッシュしたりと Google に関連したバグが多いような気も・・・）

春先に Apple Watch も発売になるということなので、それまでには更なる安定化をはかって欲しいと望むばかり。

>>当社のセキュリティ診断／コンサルティングについてはこちらへ

• 代表的なところだと情報漏洩（流出）とウィルス（スパイウエアやマルウエアも同様）がある。ウィルスがもたらす脅威も多くは「感染」と「情報漏洩」である。
  
• 情報漏洩（流出）には人為的なミス（過失）や故意や盗聴・盗難等あるが、もたらす被害は同じ大きさの被害が生じる。
  
• デバイスの紛失や車上荒らし等の盗難に遭うかもしれない。
• 不正な WI-FI アクセスポイントの利用による盗聴に遭うかもしれない。
• 総当たり攻撃や辞書攻撃などによるハッキング（パスワードクラッキング）もそうだ。
  
• 本人になりすまされる脅威もある。
  
• サービス停止や侵入の脅威をもたらすネットワーク的な脆弱性を対象にしたポートスキャンや DoS 攻撃もある。
  
• ユーザーの心理操作によるフィッシング詐欺やワンクリック詐欺の被害も後を絶たない。
  
• 何かの誤操作で正当な高額請求が来るかもしれない。
• 実は労基違反が堂々と行われていて後から大変な騒ぎになるかもしれない。

バッグを置いて時刻表を見てたら置き引きに遭ったり、バス停でスマフォを見てたらひったくりに遭ったり、金ぴかの時計をして、オシャレな格好でダウンタウンを歩いていて強盗に遭っても、「そりゃやられますわな」と言われる事、海外では適切な措置を講じてなかった貴方も悪いと判定されること同様に、iPad のセキュリティに関しては日本でも同様である。

セキュリティの脅威とは「資産の消失」そのものである。現実社会では免許証を紛失すればそれで借金されてしまうような脅威が生じるし、家の鍵をドアマットの下に置いておけば泥棒に入られるリスクが高まるのと同様、iPad に関するセキュリティ脅威においても、パスワードを付箋紙に書いて貼っておくこと然り、デバイスをロックしないで離席すること然り、背後や脇からパスワードを盗み見されているかもしれないことに無頓着なの然り、安易な情報のシェアやRTや写真の投稿が犯罪に荷担してることもあるかもしれないし、資産の消失が起きた場合、その被害額を想定することは現実社会よりもかなり困難を極めるだろう。gmail のパスワードが漏れただけかもしれないし、無害な blog の ID/パスワードが漏れただけかもしれないし、もしかすると、オンラインバンキングのIDやパスワードや、クレジットカード情報、墓場まで持って行くはずだったプライバシーまで漏れてるかもしれず、その被害は何も起きなければラッキーというギャンブルの世界に突入してしまうだろう。

このようにならないためには日々の運用そのものをキチンとルールを決めて運用するしかないのである。システムで防御できるリスクは簡単だ。最も厄介なのは人手が絡む運用なのだ。どれだけ複製が困難だという高価なドアロックを付けたところで、ドアマットの下に合い鍵が置いてあったり、パスワードが推測しやすいものになってれば同じである。家族３人ならそんなことは絶対しちゃダメだと言えば済むが、年齢や性別もばらばらの何十人、何百人、何千人という規模の企業ではそうはいかない。企業におけるデジタル資産の消失は、企業の存続を危険にさらしかねない被害が生じると考えるべきである。

そのためには、システムの側面、運用の側面の両面から手立てをすることがとても重要なのである。
運用規程を作成し、規程を定めた後はその運用が正しく行われていることを定期的に監査し、また実態と乖離が生じないように修正を繰り返す必要があるのである。

もし、スマートフォンやタブレットやノートPC含めたモバイル機器の運用規程がまだ無いという企業様、是非ご相談ください。