Appleは3月27日にiOS10.3のアップデート配布を開始し、iOS版SafariにおけるJavaScriptを使用したポップアップ表示の処理方法を変更しました。本アップデートにより、Lookoutが発見したSafariのポップアップ表示悪用に起因したスケアウェア攻撃から端末を保護することが可能になります。 この攻撃はSafariでダイアログがポップアップ表示される際の処理方法を悪用し、標的となる端末のユーザーがSafariを使用できないようにします。この攻撃は、ブラウザをロックして脅迫メッセージを画面に表示し、ロック解除と引き換えにiTunesギフトカードなどの「身代金」を要求します。 一方で、この攻撃の対処方法は簡単で、iOSの設定画面でブラウザのキャッシュを消去してSafariを再び利用可能にすることができます。実際、攻撃者は端末内のデータを暗号化して人質とするまでには及んでいません。攻撃者は支払いをしなくてもデータ復元やブラウザ使用ができることを知らないユーザーを標的とし、ブラウザのロック解除と引き換えにユーザーを脅して金銭を獲得しています。 先月、この攻撃を検知したLookoutは一連の攻撃に利用されている複数の関連ウェブサイトも特定し、原因を突き止めました。Lookoutは本攻撃に関する情報をAppleと共有し、この攻撃を修正するiOS 10.3のリリースを受け、スケアウェア攻撃の詳細情報を公開しました。 AppleはiOS 10.3でSafariにおけるポップアップダイアログの処理方法を変更したため、この攻撃を防ぐことができます。iOS10.3では、Safariのポップアップはアプリ全体ではなくタブ単位での実行に切り替わりました。 今回のような攻撃では、個人使用、業務使用を問わず、モバイル端末のソフトウェアを常に最新の状態に保つことが重要です。OSアップデートをインストールせずに放置すれば、この事例のようなバグが不必要に事態を大きくし、業務の生産性にも影響しかねません。
発見に至る経緯
今回の攻撃は、iOS 10.2端末を利用しているLookoutユーザーからのサポート問い合わせにより発覚しました。それによると、とあるウェブサイトを閲覧後にSafariが操作不能となり、Safariそのものが利用できなくなってしまったとのことでした。このユーザーが送ってきたスクリーンショット(下図)にはpay-police[.]comから送られたランサムウェアのメッセージが表示され、「Cannot Open Page(ページを開くことができません)」というダイアログボックスがSafari画面の上に表示されていました。この状況では、「OK」をタップしても同じ画面が新しく表示されるだけで、事実上ブラウザが同じダイアログ画面を表示する無限ループに取り込まれているため、ブラウザが使用不能となっていました。
このユーザーによると「Your device has been locked(端末がロックされました)…」の他「…you have to pay the fine of 100 pounds with an iTunes pre-paid card (iTunesプリペイドカードで100ポンドの罰金を支払ってください)」などの文面が現れ、ブラウザが使用不可となっているとのことでした。
Safariで作動するポップアップ表示を悪用
今回の攻撃ではSafariでポップアップ表示を処理する過程を悪用し、料金を支払うまで標的端末のSafariを使用不能な状態にするとユーザーを脅迫しています。攻撃はSafariブラウザのアプリサンドボックスに仕掛けられていました。ただし、この攻撃でエクスプロイトコードは一切使用されていません。この点は、iOSの脆弱性を狙った攻撃「ペガサス」のようにアプリサンドボックスを破壊してマルウェアのインストールを企む攻撃形態とは対照的です。 攻撃者はpolice-pay[.]comなどのドメインを取得後、そのドメインから攻撃を実行していました。このようなドメイン名を意図的に設定していることから、攻撃者の目的はある種のインターネットコンテンツを閲覧するユーザーを脅迫して金銭を要求することにあったことがわかります。対象コンテンツはポルノから音楽専門サイトなど多岐にわたっています。 実際の被害は皆無に等しいにも関わらず、攻撃者はそのことに気づかれないようにしながらユーザーの恐怖心を巧みに煽り、目的を達成しています。 コードから判断すると、攻撃はiOS 8など過去のiOSバージョンを想定して開発されたと思われます。しかしMobile Safariのポップアップを悪用する手法はiOS 10.3が配布されるまで有効でした。ポップアップが際限なく表示されるためにブラウザは実質的に動作せず、ユーザーはブラウザのキャッシュを消去しない限りSafariを使用できなくなります。iOS 10.3ではブラウザがタブ単位で動作し、こうしたポップアップが表示されてもブラウザ全体が動作を停止することはなくなります。仮にタブの1つで不具合が発生してもユーザーはそのタブを閉じて、他のタブでブラウザ使用を継続できます。
ユーザーによる対処方法
iOS 10.3アップデートがインストールされていない場合でも、ユーザーは本スケアウェア攻撃に対して代金を支払わずにSafariを使用可能な状態に戻すことができます。Lookoutでは、被害ユーザーがSafariのキャッシュ消去によってブラウザを制御可能に戻すことで問題は解決すると案内しています。
設定 > Safari > 履歴とWebサイトデータを消去、の順に進み操作。
今後実施すべき防止策
個人所有の端末の場合、この攻撃を防御する手段としてセキュリティ対策の設定を強くお勧めします。また、AppleはiOS 10.3で様々なセキュリティパッチを配布していますので併せて活用して下さい。詳細は https://support.apple.com/en-us/HT207617 にて公開しています。また、10.3へのOSアップデートが完了していない方は速やかに実行してください。
攻撃の調査結果
今回の攻撃ではスクリプトに次のようなコメントが挿入されていることから、JavaScriptが攻撃開始初期から繰り返し利用されていると考えられています。 “saved from url=(0070)http://apple-ios-front.gq/29300000/index.php?DATARE=Vylet%3A30_15%3A29” この攻撃に関するJavaScriptコードは以前からロシアのウェブサイトに掲載されていたもので、ユーザーエージェント文字列が古いバージョンのiOSで作動できるようコード内で意図的に指定されていました。 “’Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12A366 Safari/600.1.4’” この攻撃コードによりポップアップ画面が生成され、端末の所有者が支払いをするまで繰り返し表示するように設定されています。被害者はSMSを使用し、詐欺サイトに表示されている電話番号宛てにiTunesギフトカードのコードを送信することで支払いを完了します。 最近のiOSバージョンで発生する攻撃でエラーメッセージがポップアップ画面に表示されるのは、SafariがローカルのURLルックアップを取得できないことが理由です。結果的に失敗ではあるものの、コードに無限ループが設定されているためダイアログボックスでメッセージを表示し続けます。このJavaScriptコードはされていましたが、Lookoutのアナリストにより解読が終了し、攻撃者の意図が明らかにされています。 pay-police[.]comのドメインから私たちが入手したJavaScriptコードはHEX値の配列を使用してわずかに難読化され、コードの振る舞いを検知されないようにしてありました。最近のiOSバージョンで発生するポップアップ攻撃はブラウザに対するDoS(Denial of Service/サービス拒否)攻撃と思われます。
JavaScriptコマンドの配列を難読化 以下のコードは次のスクリプトを実行してから、難読化コードを実行しています。 <script type=”text/javascript”>navigator.__defineGetter__(‘userAgent’, function () { return ‘Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12A366 Safari/600.1.4’; });</script> この攻撃に関与した犯罪グループは大量のドメインを用意し、他人には知られたくないコンテンツをネットで閲覧しているユーザーをそこに誘い込むことで、金銭を要求していました。 悪質なJavaScriptを送り込むURLはこの1件だけではなく、以下のURLも同様に検知されています。 hxxp://x-ios-validation[.]com/us[.]html hxxp://x-ios-validation[.]com/ie[.]html hxxp://x-ios-validation[.]com/gb[.]html hxxp://x-ios-validation[.]com/au[.]html hxxp://x-ios-validation[.]com/nz[.]html 各サイトでは国別コード識別子に応じてそれぞれ別のメッセージを表示します。訪問ユーザーの居住国によって表示サイトを使い分けるために複数のサイトを用意し、ユーザーを標的にしていると思われます。また、メッセージには連絡用のメールアドレスがそれぞれ割り当てられていることから、キャンペーンが国別に実施されていること、およびこのキャンペーンがさらに大規模なフィッシング詐欺キャンペーンの一部であることが推測されます。 各ペイロードで使用されているフィッシング詐欺サイトのドメインおよびメールアドレスは次の通りです。 アメリカ合衆国:us.html networksafetydept@usa[.]com アイルランド:ie.html justicedept@irelandmail[.]com イギリス:gb.html cybercrimegov@europe[.]com オーストラリア:au.html federaljustice@australiamail[.]com ニュージーランド:nz.html cybercrimegov@post[.]com Lookoutの研究者はプラットフォームプロバイダと協力しつつ、今後もこの事例およびその他関連キャンペーンの監視を継続し、セキュリティ問題の発生に備えています。