ニュース

iPhoneに顔のアイコンが大量に出現する「YJSNPI(ヤジュウセンパイ)ウイルス」、トレンドマイクロが仕組みを解説

 iPhone/iPadのホーム画面に大量の消せないアイコンを表示する通称「YJSNPI(ヤジュウセンパイ)ウイルス」がインターネットを通じて拡散されている。トレンドマイクロは公式ブログにて「YJSNPIウイルス」の仕組みを解説している。

 この「YJSNPIウイルス」をインストールすると、人の顔のアイコンが大量にホーム画面に並び、場合によってはホーム画面が強制終了してしまう。しかもこのアイコンは通常のアプリと違い、ホーム画面から削除することができない。

「YJSNPIウイルス」がインストールされたiPhone(左)やiPadのホーム画面

 「YJSNPIウイルス」は、別のランサムウェアを作成した容疑で6月に逮捕された少年が作成したとされている。「iXintpwn(アイシントポウン)」とも呼ばれており、トレンドマイクロのセキュリティアプリでは「TROJ_YJSNPI.A」として検出される。iOS端末にかけられた制限を解除するJailbreak(脱獄)アプリに見せかけて、YouTubeやTwitterといったSNSを通じて配布されていた。

 この「YJSNPIウイルス」は、「構成プロファイル」という、iOS公式の機能を悪用したものだ。構成プロファイルは、企業が従業員に配布するiPhoneの設定を一括で変更する際などに活用される機能。設定ファイルの形で配布され、iPhoneにインストールすると自動で設定が行われるという仕組みだ。

 この構成プロファイルの設定項目の中に、ホーム画面に特定のWebサイトへのショートカットを配置する設定も用意されており、設定次第ではユーザーによる削除ができないようにもできる。「YJSNPIウイルス」の実態は、多数のアイコンを繰り返し配置するような設定が書き込まれた構成プロファイルというわけだ。

 通常、iPhone上から構成プロファイルを削除すればアイコンは消え、元の状態に戻る。しかし、「YJSNPIウイルス」はiPhone上からの削除ができないように設定されている。これを削除するためにはMacに接続し、Appleの純正ソフトウェア「Apple Configurator 2」から削除する方法がある。なお、「Apple Configurator 2」にはWindows版は用意されていない。

 Macを持っていなかったり、「Apple Configurator 2」に「YJSNPIウイルス」が認識されない場合でも、iPhoneを初期化すれば、「YJSNPIウイルス」と共にアイコンを消し去ることができる。

「YJSNPIウイルス」には、同じWebサイトへのリンクを繰り返し生成し、ホーム画面に配置するプログラムが仕込まれていた
端末からの削除ができない設定になっている

未署名の「構成プロファイル」には特に注意を

 構成プロファイルは、大手キャリアがWi-FiやEメールを簡単に設定するために利用していたり、MVNOが通信に必要なAPN設定を書き込んで提供していたりする。こうした正しい使い方をされている構成プロファイルの多くには、提供元を証明する「署名」が付与されている。一方、今回の「YJSNPIウイルス」は「未署名」となっていた。

 署名の有無にかかわらず、構成プロファイルをインストールする際は、iPhone上に確認画面が表示される。この画面では、署名が付与された(身元が明らかな)構成プロファイルなら「検証済み」と表示される。確認画面で「未署名」と表示されるような構成プロファイルには、特に注意して、安易に「インストール」のボタンを押さないようにしたい。