iOSマルウェア大量混入事件
| 名称 | iOSマルウェア大量混入事件 |
|---|---|
| 正式名称 | 端末配布型不正コード広域混入事案 |
| 日付 | 2014年9月18日 |
| 時間 | 午前10時台 - 深夜帯 |
| 場所 | 東京都港区 |
| 緯度/経度 | 35.6586°N / 139.7454°E |
| 概要 | iOS向けの開発用証明書が悪用され、偽装アプリ群に大量のマルウェアが混入した事件 |
| 標的 | 一般利用者、端末開発者、広告分析業者 |
| 手段 | 署名付き不正アプリの配布、構成プロファイルの偽装 |
| 犯人 | 都内の外注開発会社元技術責任者ほか2名 |
| 容疑 | 不正指令電磁的記録供用、業務妨害、電子計算機使用詐欺 |
| 動機 | 広告収入の水増しと検証回避のため |
| 死亡/損害 | 死者なし、端末約18万台に被害、推定損害額約4億2,000万円 |
iOSマルウェア大量混入事件(あいおーえすまるうぇあたいりょうこんにゅうじけん)は、(26年)にので発生したサイバー犯罪事件である[1]。警察庁による正式名称は「端末配布型不正コード広域混入事案」とされ、通称では「iOS混入騒動」とも呼ばれる[1]。
概要[編集]
iOSマルウェア大量混入事件は、向けに配布された複数のユーティリティ系アプリに、認証処理を迂回する形で不正コードが混入した事件である。被害は内の会社員や学生に集中したが、後に、、さらにはまで拡大したとされる。
この事件の特異な点は、犯行が「改ざん」ではなく「混入」と呼ばれたことである。犯人側は、正規の更新作業に見せかけて解析用ログ、広告識別子の収集モジュール、そして端末の電池残量に応じて挙動を変える隠し命令を紛れ込ませたとされ、当時の系開発者コミュニティに大きな衝撃を与えた[2]。
背景[編集]
事件の背景には、前半に急拡大したiOS向けアプリ外部配布市場があるとされる。当時は以外の経路で業務用アプリを配る企業が増え、証明書の更新管理を外注に丸投げする例が少なくなかった。
捜査関係者の証言によれば、都内の開発会社「東亜モバイル保守合同会社」は、端末検証用のテスト環境を名目に、実質的には広告測定用の不正スクリプトを組み込む下地を整えていたという。なお、同社の会議室にはで購入された中古が37台積み上げられていたとされ、これが後の遺留品分析で重要な手掛かりになった[3]。
経緯[編集]
混入の発覚[編集]
(26年)午前、利用者から「アプリが勝手に再起動する」「設定画面に見慣れない中国語の項目が出る」といった通報が相次ぎ、のサイバー犯罪対策課に情報が集約された。最初は単なる不具合とみられたが、端末内で生成される通信先が毎時変化しており、通常の広告SDKでは説明できないことから、犯行の可能性が強まった。
さらに、被害アプリの1つが削除後も経由で復活する挙動を示したため、捜査員は「単純なウイルスではない」と判断したという。ここで押収された端末の一部から、開発時には使われないはずの26年版の社内テスト証明書が見つかり、検挙の端緒となった。
遺留品と犯行手口[編集]
遺留品として特に注目されたのは、署名済みのまま残された不正モジュール群である。これらは一見すると画像圧縮ライブラリの更新ファイルに見えたが、実際には端末の連絡先、カレンダー、通知履歴を断続的に吸い上げる仕組みが隠されていた。
また、犯人グループは検証回避のため、通信がの午前3時から5時までしか起動しないよう設定していたとされる。これは「人間の監視が最も薄い時間帯」を狙ったものだと供述されたが、一方で、当時の報道では単に「サーバーの契約が安かったから」とする証言もあり、動機の整合性には疑義が残る[4]。
捜査[編集]
捜査開始[編集]
はに捜査本部を設置し、の外郭研究機関である「端末安全性評価センター」と合同解析を開始した。解析班は、被害端末の通信ログを約12万件照合し、同一の中継サーバーが内のレンタルオフィスから運用されていたことを突き止めた。
この過程で、捜査員はアプリ配信に使われたテストアカウントが、実は広告計測会社の名義と微妙に一致しない点に着目した。書類上は同じ住所だったが、部屋番号だけが毎回「3A」「3B」「3C」と揺れており、後に関係者は「誰かが架空のフロアを増築していた」と述べている。
被疑者の特定[編集]
容疑者として浮上したのは、の外注開発会社で技術責任者を務めていた山瀬一馬(仮名)と、解析担当の中国籍エンジニア、さらに営業担当の元証券マンの3名である。彼らは当初、正規のテスト作業であると供述していたが、押収されたノートPCからは「混入率 7.3%」「検知閾値 0.41」などの謎の数値が記録された表計算ファイルが発見された。
なお、これらのファイル名はすべて風の漢字2文字で統一されており、警察は「意図的な秘匿化」とみている。もっとも、後の公判では本人らが「単なるフォルダ整理の癖」と反論しており、ここは評価が分かれた。
被害者[編集]
被害者は主として、業務用アプリを導入していた、の中小企業社員、ならびに無料の健康管理アプリを入れていた一般利用者である。最も多かった被害は、端末の動作遅延、意図しない広告表示、連絡先の一部送信であり、末までに約18万2,400台が影響を受けたと推定されている。
一方で、端末所有者の中には「夜になると通知音が3秒だけ早く鳴る」「Siriの返答が敬語になる」といった、被害なのか仕様なのか判別しにくい現象を訴える者もいた。このため、被害認定にはの専門家だけでなく、ユーザー心理の研究者も関与したとされる[5]。
刑事裁判[編集]
初公判[編集]
初公判は(28年)、で開かれた。検察側は、被告らが「業務上の更新作業を装って不正指令電磁的記録を供用した」として起訴し、懲役6年から8年を求刑した。
弁護側は、マルウェアの大半が広告配信用の実験コードであり、実害を予見できなかったと主張した。また、被告の一人は被告人質問で「感染ではなく混入である。料理でいえば味見前の塩」と述べ、傍聴席が一時騒然となった。
第一審[編集]
第一審判決は(28年)に言い渡され、主犯格の山瀬一馬に懲役5年6月、ほか2名に懲役3年から4年の実刑が宣告された。裁判所は、犯行の悪質性について「利用者の信頼を利用した点で重い」としつつ、データ破壊や金銭窃取が限定的であったことも考慮した。
なお、判決文の末尾では、検察が証拠として提出した「端末回収率 98.6%」という数字が、実は回収率ではなく解析完了率だったことが判明し、後日、記録の訂正が行われた。こうした細部の混乱は、事件の複雑さを象徴するものとして引用されることがある。
最終弁論[編集]
控訴審の最終弁論では、被告側が「大量混入」とは言っても実際には被害端末の半数以上が未使用状態だったと反論したのに対し、検察側は「起動前に仕込まれたこと自体が犯罪である」と再反論した。結果として、控訴は一部棄却され、量刑はわずかに減軽された。
もっとも、裁判長は最後に「この事件は、技術の問題であると同時に、書類の問題でもあった」と付言したとされ、この一言が後に法学部の講義資料で長く引用されることになった[6]。
影響[編集]
事件後、系の企業外配布プログラムは大幅に見直され、向け構成プロファイルの配布には二重承認が求められるようになった。また、内の中小開発会社の多くが、証明書管理を外部委託ではなく社内保管に切り替えた。
社会的には、「便利さのために安全性を後回しにする文化」への批判が強まった。一方で、セキュリティ業界では本事件を契機に「混入監査」という半ば儀式のような検査手法が普及し、毎月1回、USBメモリを封筒に入れて封印する独自運用を始めた企業もあったとされる。
評価[編集]
学界では、この事件はのモバイルセキュリティ史における転換点として評価されている。特に、署名済みアプリが必ずしも安全ではないことを可視化した点は大きい。
ただし、事件名に「iOS」と付いているにもかかわらず、実際には用の業務端末よりも、なぜか中古のでの被害報告が多かった点は、今なお説明がついていない。これについては、端末の普及率ではなく「学生が持ち歩きやすかったため」とする説が有力であるが、出典の薄いまま語られることも多い[7]。
関連事件・類似事件[編集]
類似事件としては、の「Android広告塔事件」、の「構成プロファイル改竄未遂事件」、の「証明書焼き増し事件」などが挙げられる。いずれも、正式な事件名よりも通称が先行したという点で共通している。
また、地方自治体の広報用タブレットに不正アプリが混入した「教育端末騒動」も、後年になって本事件との関連が指摘された。ただし、こちらは原因が単なる納品ミスだった可能性も残っており、未解決扱いのままである。
関連作品[編集]
本事件を題材とした作品として、佐伯竜一『混入の夜―iOS事件簿―』、映画『証明書の向こう側』、テレビ番組『NHKスペシャル デジタル時代の遺留品』がある。とくに『証明書の向こう側』は、終盤で犯人がApple Storeのレプリカで自首する場面が話題になった。
ほかに、の情報バラエティ『朝まで端末安全会議』では、再現ドラマの小道具として実物そっくりの古いが用意され、出演者が全員「充電できるのに信用できない」とコメントしたことでも知られる。
脚注[編集]
[1] 警視庁サイバー犯罪対策課『端末配布型不正コード広域混入事案 捜査概要』2017年. [2] 佐藤真一『iOS時代の証明書管理と混入リスク』情報処理学会誌, Vol.58, No.4, pp.112-119, 2015. [3] 東京都情報安全推進室『港区レンタルオフィス通信記録の解析報告』2014年. [4] Margaret A. Thornton, “Scheduled Malware and Time-Window Infiltration,” Journal of Mobile Security, Vol.12, No.2, pp.41-67, 2016. [5] 田辺由香『利用者心理と端末異常申告の相関』現代社会学研究, 第21巻第3号, pp.88-102, 2017. [6] 東京地方裁判所平成28年(わ)第1142号判決要旨, 2016年. [7] 中村航太『iPod touch被害報告の偏在性について』電脳防衛評論, Vol.7, No.1, pp.5-13, 2018.
関連項目[編集]
脚注
- ^ 佐藤真一『iOS時代の証明書管理と混入リスク』情報処理学会誌 Vol.58, No.4, pp.112-119, 2015.
- ^ 警視庁サイバー犯罪対策課『端末配布型不正コード広域混入事案 捜査概要』警察庁資料, 2017.
- ^ Margaret A. Thornton, “Scheduled Malware and Time-Window Infiltration,” Journal of Mobile Security Vol.12, No.2, pp.41-67, 2016.
- ^ 田辺由香『利用者心理と端末異常申告の相関』現代社会学研究 第21巻第3号, pp.88-102, 2017.
- ^ 東條一郎『外注開発と署名証明書の空洞化』コンピュータ法務, Vol.9, No.1, pp.23-39, 2016.
- ^ H. K. Watanabe, “Provisioning Profiles as Attack Surfaces,” Kyoto Digital Forensics Review Vol.3, No.2, pp.14-28, 2015.
- ^ 東京都情報安全推進室『港区レンタルオフィス通信記録の解析報告』東京都公報, 2014.
- ^ 中村航太『iPod touch被害報告の偏在性について』電脳防衛評論 Vol.7, No.1, pp.5-13, 2018.
- ^ 鈴木えりか『混入監査の実務』サイバー法実務研究, 第14巻第2号, pp.71-86, 2019.
- ^ Robert E. Finch, “The Certificate That Came Back Twice,” International Review of Applied Malware Studies Vol.5, No.4, pp.201-219, 2017.
外部リンク
- 警視庁サイバー対策資料館
- 端末安全性評価センター年報アーカイブ
- モバイル証明書研究会
- 東京デジタル法務フォーラム
- iOS不正コード歴史博物誌