狙われるSnap Store ―元CanonicalエンジニアリングマネージャがSnapユーザにマルウェアの注意喚起

人気の高いオープンソースプロダクトは悪質なサイバーセキュリティ攻撃のターゲットにもされやすい。世界でもっとも使われているLinuxディストリビューションのひとつであるUbuntuに対しても、その膨大なインストールベースを狙った攻撃が日々画策されており、金銭的な被害が生じる可能性も高い。こうした状況に対し、2011年から2021年までCanonicalのエンジニアリングマネージャを務めていたAlan Popeが自身のブログでCanonical運営の「Snap Store」で繰り返されるマルウェアアップロードへの注意を呼びかけている。

Malware Peddlers Are Now Hijacking Snap Publisher Domains -Alan Pope's blog

Snap Storeは文字通り、世界中の開発者が開発したさまざまなSnapパッケージを配布するリポジトリサービスだ。運営はCanonicalだがSnap自体はディストリビューションに依存しないため、UbuntuのほかにもDebianやFedora、openSUSE、Arch Linuxといった主要なディストリビューションで利用できる。Snap Storeに登録されているアプリケーションパッケージの数は6,000以上ともいわれており、そのすべての動向をリアルタイムに把握するのは管理者であっても難しい。

PopeはすでにCanonicalを離れているものの、現在も自身が開発した50近いSnapパッケージを管理しており、多くのユーザがそれらを利用している。そして「個人的にはSnap Storeが成功し、ユーザがインストールするパッケージが信頼でき、安全であると確信できるようになることを望んでいる」（⁠Pope）ものの、現在のSnap Storeはその信頼性が保証されておらず、SnapパッケージをインストールするLinuxユーザにとってリスクがあると強調、すこしでもSnap Storeを安全な場所にするための自身の取り組みとして、発見した悪意あるSnapはすべて報告することに加え、「⁠SnapScope」というSnap Storeに登録済みのアプリをスキャンするWebアプリを作成し、一般に公開している。「⁠当初はSnapScopeでマルウェアを発見することを目的としておらず、潜在的なセキュリティ問題を抱える古いSnapを特定することが目的だった。しかしすぐに疑わしいパッケージをハイライト表示する機能を追加することで、ユーザがソフトウェアを探す際に十分な情報にもとづいた判断ができるようにした」（⁠Pope）

SnapScopeの「疑わしきパッケージ一覧」 — SnapScopeの「マルウェアと疑われるSnapパッケージ一覧」、推測される理由もハイライトとともに記されている

ユーザとパブリッシャーの信頼関係を悪用した「重大なエスカレーション」が進んでいる

Popeの調査によれば、Snap Storeを狙う攻撃者は「クロアチアかその周辺地域に拠点を置いているとみられ、ニセの暗号資産ウォレットアプリ（マルウェア）の公開をつねに試みている」という。このマルウェアはExodusやLedger Wallet（旧Ledger Live）といった正規の暗号資産ウォレットに偽装し、ユーザにウォレットの復元フレーズの入力を求め、認証情報を攻撃者に送信する。成功すれば、ターゲットユーザが気づいたときにはウォレットの中身は空になっているというしくみだ。暗号資産の取引は一度実行されたら不可逆であるため、ユーザが資産を取り返すことはほぼ不可能となる。

もちろん、Snap Storeの運営もこの流れを食い止めるべく、不正なアプリを発見しだい削除しているが、「⁠多くのセキュリティ問題と同様、容赦のないもぐらたたきゲームと化している」（⁠Pope）のが実情で、根絶するには至っていない。また、攻撃者は最近では別のアプローチとして、「⁠無害で関連性のない名前でSnapを登録し、実際にゲームなど無害なアプリとして主張、承認されたあとにニセのウォレットアプリを2番目のリビジョンとしてプッシュする」という囮商法的な作戦も展開しているという。

また、もうひとつの注意すべきアプローチとしてPopeが挙げているのが、Snap Storeで公開されたアプリの中からパブリッシャーのドメイン登録が失効しているものを攻撃者が探し出して自身のドメインとして登録し、Snap Storeアカウントのパスワードをリセットするというドメインの乗っ取りを起点にした攻撃だ。期限切れのドメインを狙った悪用行為の事例は多いが、Snap Storeにおいては「過去に確立された実績をもつ、正当で信頼できるパブリッシャーアカウント」が突然、ユーザの財産を狙うマルウェア攻撃者に変貌するというわけだ。Popeはすでにこの問題が発生したドメインを少なくとも2つ特定したとしている。数年前にインストールしたアプリが、久々のアップデートで悪意あるマルウェアをプッシュしてきたとしても、それを確実に回避できると断言できるユーザは多くはないだろう。まさにユーザがパブリッシャーに寄せていた信頼関係を悪用した「重大なエスカレーション」（⁠Pope）である。

Popeは「Canonicalはこの問題に対処する必要があり、現状は持続可能ではないことは確かだ」とSnap Storeの現状に対して警鐘を鳴らしている。執拗なサイバー攻撃から一般ユーサを守るために、サービス事業者がやるべきことは今後ますます増えることになりそうだ。