長年のソフトウェア開発会社であるPanicは水曜日、MacおよびiOSアプリのソースコードの大部分が盗難された件について、ブログ記事で顧客に注意喚起しました。同社は顧客情報を管理し、一部のソフトウェアのパスワードとアカウントの同期サービスを運営していますが、共同創業者のスティーブン・フランク氏は記事の中で、個人情報は漏洩していないと述べています。(Panicにコメントを求めており、新たな情報があればこの記事を更新します。)
フランク氏は、人気ソフトウェア「Handbrake」に仕込まれた最新のトロイの木馬に感染し、感染したMacにリモートコントロールソフトウェアをインストールさせられました。このマルウェアは、フランク氏の個人情報を盗み出し、同社のバージョン管理サーバー上のコードにアクセスするために使用されました。ただし、クラッカーはリポジトリと呼ばれるコード保存グループの名前を推測する必要があったため、すべての情報を入手できたわけではないとフランク氏は記しています。
Panicはクレジットカード決済にStripeを利用しており、クレジットカード番号をサーバーに渡すことも、カード情報をサーバー上に保存することもありません。フランク氏は、顧客情報とPanic Syncのデータにアクセスできず、Panicのウェブサイトも侵害されていないと記しています。
Panic Syncは、iOS向けファイルアクセスソフトウェア「Transmit」をはじめとする3つのアプリで利用されており、ユーザーが設定したマスターパスワードで始まるエンドポイント暗号化を採用しています。Panic Syncは、暗号化キーや暗号化されていないデータには一切アクセスできません。これは、AppleのiCloudキーチェーン、1Passwordのサブスクリプションサービス、そしてLastPassの仕組みに似ています。そのため、たとえ集中管理された同期データを完全に傍受できたとしても、攻撃者にとっては何の役にも立ちません。
これは企業にとって最も貴重な財産が盗まれた重大なハッキングのように見えるが、フランク氏はブログ記事の中で、主な懸念はビジネス上の損失ではなく、悪意のある者がマルウェアに感染した、あるいはPanic社の収益を奪う目的で販売されるPanic社のアプリの本物そっくりのバージョンを作成する可能性があることを指摘している。
フランク氏は、パニック社の事業への影響についてはあまり懸念していない。ソースコードがすべて盗まれたわけではなく、同社の人気製品の海賊版はすでに存在している。競合他社がそのコードを自社製品に利用する可能性はあるものの、MacやiOSの開発者が倫理的・法的に問題のあるそのような判断を下すとは考えにくい。仮にそうしたとしても、類似アプリで利用された場合、ほぼ100%発覚する可能性が高いだろう。さらに、同社のアプリは事実上継続的に開発されているため、そこから派生したリリースは時代遅れになり、バグが発生する可能性もある。
これまで何度も書いてきましたが、悪意のあるバージョンや海賊版のソフトウェアを入手してインストールするのを防ぐ最善の方法は、既存のアプリの内部アップデートプロセス、開発者の公式サイト、またはMac App Store(アプリがMac App Storeで販売されている場合)からのみリリースをダウンロードすることです。サードパーティのアップデートサイトは、ダウンロードにアドウェアを仕込んでいることも多いので、使用を避けてください。
IDG Handbrakeソフトウェアは署名されていないため、より注意が必要です。しかし、署名されたソフトウェアであっても、盗まれた開発証明書によって侵害される可能性があります。
もちろん、そこには皮肉な点があります。フランク氏のMacは、ダウンロード用に運営されていた2つのミラーサイトのうちの1つであるHandbrakeサイトからのダウンロードによって感染したのです。しかし、彼は内部アップデートが失敗し、そのウェブサイトにたどり着いたことに気づいていました。HandbrakeはAppleの証明書で署名されていません。開発者はAppleの開発者プログラムに参加していないため、AppleのGatekeeperシステムをバイパスする必要があるのです。さらに、このマルウェアはインストール時に管理者パスワードを要求しましたが、Handbrakeではこれは不要です。
フランクの決断はどれも特段珍しいものではなく、明らかな危険信号も見当たりませんでした。しかし、個人や小規模なチームが開発したアプリ、特に無料で配布されているアプリについては、より慎重に行動することで、同様の落とし穴を避けることができます。
一人または数人で開発され、特に無料配布用に配布されているMacアプリの大部分は、全く問題ありません。しかし、近年、侵害を受けたソフトウェアの例としては、TransmissionとHandbrakeが挙げられます。したがって、アプリ内ダウンロードの失敗や追加権限の要求など、想定外の動作をした場合は、使用を中止し、開発者に直接、またはサポートフォーラムを通じて連絡する必要があります。あなたは、侵害されたソフトウェアによる広範な影響を防ぐ、炭鉱のカナリアのような存在になるかもしれません。
署名付きアプリは必ずしも安全とは限りません。Transmissionは2017年9月にリリースされた不正アプリに開発者の署名が付けられていましたが、開発者自身による署名はされていませんでした。盗まれた証明書が使用されており、最近のフィッシング攻撃でも同様の攻撃が行われ、署名付きではあるものの悪意のあるパッケージが送りつけられました。
このようなアプリが署名されているかどうかに関わらず、追加の保護対策を講じる必要があります。Patrick Wardle氏による無料(ベータ版)のBlock Blockは、起動時にデーモンやその他のソフトウェアがインストールされた際に通知します。F-SecureのXfence(旧称Little Flocker)(現在はベータ版で無料)は、アプリがユーザーの許可を得ずにファイルの読み取り、書き込み、削除を初めて(またはそれ以降)行うことを防止します。これによりランサムウェアの侵入を防げるだけでなく、今回のリモートコントロールマルウェアのインストールのような不審なアクティビティについても警告を発します。
