Apple App Storeは「安全なエコシステム」として長年信頼されてきた。しかしそのApp Storeに、MetaMask・Coinbase・Trust Wallet・OneKeyなどの人気暗号資産ウォレットを装った偽アプリが26本も紛れ込んでいたことが明らかになった。発見したKasperskyは一連の攻撃を「FakeWallet」キャンペーンと命名し、昨年から続く「SparkKitty」作戦との関連を指摘している。

攻撃の巧妙な多段構造

今回の攻撃が興味深いのは、単純な偽アプリにとどまらない点だ。中国では暗号資産関連アプリが規制されているため、攻撃者はまず「ゲームアプリ」や「電卓アプリ」として申請・審査を通過させた。ユーザーが起動すると、合法的なサービスに見せかけたフィッシングページへリダイレクトされる。

ここからが本番だ。そのページは被害者に「iOS プロビジョニングプロファイル」のインストールを促す。プロビジョニングプロファイルとはAppleが企業内配布用に用意した正規の仕組みであり、これを悪用することでApp Store外のトロイの木馬入りアプリをデバイスにサイドロードできてしまう。

インストールされたトロイの木馬は、ウォレットのセットアップ画面や復元画面でニーモニックフレーズ(シードフレーズ)を傍受し、RSAとBase64で暗号化して攻撃者のサーバーへ送信する。Ledgerのようなコールドウォレットの場合は、アプリ内に「偽のセキュリティ確認画面」を表示し、ユーザー自身にシードフレーズを入力させるフィッシング手口も使われた。

シードフレーズが「詰み」な理由

暗号資産ウォレットのシードフレーズ(通常12〜24個の英単語)は、秘密鍵そのものを表す主鍵だ。これを知られた瞬間、攻撃者は別のデバイスでウォレットを完全に復元し、残高を全額別アドレスへ移転できる。パスワードリセットもサポートへの連絡も意味をなさない。ブロックチェーンの不変性が、この局面では被害者に対して働く。先週も偽Ledgerアプリによる950万ドル相当の被害が報じられたばかりだ。

「公式ストアだから安全」という思い込みの危険性

AppleはKasperskyからの報告を受けて26本のアプリをすべて削除したが、今回の件はApp Storeの審査プロセスに対する楽観的な信頼を見直すきっかけになるべきだ。「ゲームアプリ」として申請し、起動後にふるまいを切り替えるという手法は今後も繰り返されるだろう。

Kasperskyは今回のキャンペーンが中国ユーザーを主な標的としているとしつつも、マルウェア自体に地理的な制限はないと指摘している。日本の暗号資産ユーザーも対岸の火事として見過ごすべきではない。

実務への影響——IT管理者・エンジニアが今すぐできること

個人ユーザー向け

  • ウォレットアプリは必ず公式サイトからリンクをたどってダウンロードする。App Storeの検索結果を信用しない
  • プロビジョニングプロファイルのインストール要求は、企業MDM以外では原則拒否する
  • シードフレーズはデジタルデバイスに保存しない。紙に書いてオフラインで管理するのが鉄則

企業・IT管理者向け

  • 従業員が業務端末で暗号資産ウォレットアプリを使う可能性を想定し、MDMポリシーでプロビジョニングプロファイルの無断インストールをブロックする
  • モバイルデバイス管理(MDM)未導入の環境では、今回のような攻撃を防ぐ手段がほぼない。MDM導入は急務だ
  • フィッシング対策教育の題材として、本件を社内勉強会で取り上げることをすすめる

筆者の見解

Apple App Storeのサンドボックスモデルは堅牢だが、「プロビジョニングプロファイル」という企業向け正規機能を経路として使われると、プラットフォームの防御機構を合法的に迂回できてしまう。これはAppleだけの問題ではなく、あらゆる「信頼された機能」が攻撃の踏み台になりうるというゼロトラスト的な問題だ。

「公式ストアからインストールしたから安全」という前提は、もはや成立しない。信頼の起点をデバイスやストアに置くのではなく、「そのアプリがどのような動作をするか」「どこへ通信しているか」をエンドポイントレベルで継続的に検証する発想が必要だ。

暗号資産の世界は「自己責任」が基本設計であるため、一度シードフレーズを渡してしまったら取り返しがつかない。技術的な保護の限界を補うのは、結局のところ「ユーザー自身が原理を理解しているかどうか」だ。ウォレットを使うなら、シードフレーズがなぜ絶対に共有してはいけないのかを理解した上で使ってほしい。知識こそが最強の防御壁だ。

出典: この記事は China’s Apple App Store infiltrated by crypto-stealing wallet apps の内容をもとに、筆者の見解を加えて独自に執筆したものです。