ニュース

中国BaiduのSDK「Moplus」にバックドア機能、日本法人は「Simeji」には使用してないとアナウンス

 中国の検索エンジン「百度(Baidu)」のSDK「Moplus」にバックドア機能が存在することが確認された。トレンドマイクロ株式会社が同社公式ブログにおいて6日、発表した。

 バックドア機能により、フィッシングサイトへの誘導、任意の連絡先の追加、偽のショートメッセージサービス(SMS)の送信、リモートサーバーへのローカルファイルのアップロード、任意のアプリをAndroid端末にインストールすることができるという。これらの機能は端末をインターネットに接続するだけで実行可能。

 トレンドマイクロによると、Moplusを組み込んだアプリはバージョン違いなどを合わせると1万4112個あり、そのうち4014個がBaiduの公式アプリ。このように多くのアプリに使われているため、トレンドマイクロでは、1億人のAndroidユーザーが影響を受けたとしている。

 また、Moplusを利用して自動的・定期的にアプリをインストールさせる不正プログラム「ANDROIDOS_WORMHOLE.HRXA」の拡散を確認したとしている。ユーザーの端末に侵入し、端末がルート化されていれば、ユーザーに気付かずにアプリがインストールされる。

「Moplus SDK」を利用して、ユーザーに気付かれずに端末に自身をインストールする不正プログラム

 ユーザーがMoplusを採用したアプリを起動すると、Moplusは自動的にローカルのHTTPサーバーを裏で設定する。HTTPサーバーの設定にはオープンソースの「NanoHttpd」を利用し、HTTPサーバーを変更。HTTPサーバーはTCPポートを待機し続け、他の端末から送信されたメッセージを受信して解析し、NanoHttpdドキュメントで指定された関数を上書きして自身のタスクを呼び出すという。トレンドマイクロでは、典型的なコマンド&コントロール(C&C)攻撃モデルだとしているが、サーバーがユーザー側にあり、攻撃するクライアントがどこにでも存在する点が従来と異なるとしている。

 Moplusによって設定されたローカルなHTTPサーバーでは、識別認証が行われない。このため、アプリ開発者以外でもコマンド1つで感染した端末を遠隔から制御可能。攻撃者は、HTTPサーバーが接続するTCPポート番号「6259」「40310」(調査により判明)のステータスを確認するために、セキュリティスキャナー「nmap」ですべてのネットワークセグメントを検索し、ポートステータスがオープンであると判明したAndroid端末をすべて遠隔で制御できるという。また、モバイルネットワーク上の端末だけでなく、同じLAN上にあるすべての端末が攻撃される可能性もあるとしている。

ローカルのHTTPサーバーに接続するTCPポートはいつも同じではないとしており、調査では「6259」「40310」が該当したとしている

 ただし、2015年10月30日にリリースされたMoplusの最新バージョン「8.7.5」では、コードが実行されないことを確認したという。トレンドマイクロでは、不正コマンドと対応するコードの一部と、ユーザーに気付かれずにルート化された端末に自動的にアプリをインストールする不正なコードが削除されていることを確認しているが、すべての不正機能がMoplusから削除されたわけではなく、端末はまだ危険な状態だとしている。

赤枠で囲まれた不正機能のみが、最新版の「Moplus SDK」から削除されたという

 トレンドマイクロでは今回の件についてBaiduに報告済み。Baiduでは2015年10月30日から同問題に対処しているとしており、感染したアプリの次期バージョンをリリースする際に、問題のデッドコードを削除する予定だという。

 なお、Moplusには「Wormhole」と呼ばれる脆弱性が判明している(中国の脆弱性報告プラットフォーム「WooYun.og」で確認)。しかしトレンドマイクロの調査によると、Moplus自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来・関連しているわけではないことが判明。Moplusのアクセス許可制御とアクセスの制限方法に問題があったとみている。

 Baiduの日本法人であるバイドゥジャパンでは、同社が提供している日本語IME「Simeji」には、Moplusを使用していないとTwitter上でアナウンスしている。

(山川 晶之)