2015 年 9 月、研究者が中国で正規の iOS アプリに影響するマルウェアを発見しました。その原因となった XcodeGhost と呼ばれる悪質なコード(シマンテックでは OSX.Codgost として検出します)が見つかったのは、Apple の統合開発環境 Xcode の非正規版でした。iOS アプリの開発者が非正規版の Xcode を使ったため、気付かないうちに悪質なコードが正規の iOS アプリに侵入することを許してしまったのです。
図 1. XcodeGhost のコマンド & コントロールの URL
今週に入って、その XcodeGhost の新しい亜種が発見されましたが、 この亜種が見つかったのも、非正規版の Xcode 7 でした。開発者はこれを使って、Apple の最新 OS である iOS 9 に対応するアプリを作成することができます。
Xcode はファイルサイズが大きい(4 GB 超)ため、各地でホストされている Xcode の非正規版を見つけ出し、正規版より短時間でダウンロードしている開発者もいます。短時間でダウンロードできるとはいえ、非正規版は検証されていない場合がほとんどです。
検証されていない Xcode を非正規のサイトからダウンロードすると、そこには悪質なコードが含まれていることがあり、その環境で開発したアプリに悪質なコードが侵入してしまう場合があります。非正規版のソフトウェアを使う開発者のせいで、エンドユーザーは何も知らないまま危険にさらされることになるのです。
開発者は検証の済んだ正規の Xcode を使わねばならず、XcodeGhost はそれを再確認させる警鐘ととらえるべきです。Xcode は、Apple の App Store や開発者用サイトなど、必ず正規のソースからダウンロードするようにしてください。どうしても、非正規のソースから Xcode をダウンロードする場合には、開発に使う前に必ずその Xcode を検証する必要があります。
図 2. Apple の App Store にある正規の Xcode ダウンロードファイル
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】