“Mac安全神話”の終わり？

Macを狙った本格的なマルウェア攻撃が初めて発見された。「MacユーザーはPCのセキュリティのお粗末さを鼻で笑っていたが、もう少し慎重にならなければならない」と専門家は指摘する。

[Lisa Vaas，eWEEK]

　複数のポルノサイトで、Macでコンテンツを再生するためのビデオコーデックを装ったトロイの木馬が配布されている。これはMacを狙った本格的なマルウェア攻撃が発見された初めてのケースであり、セキュリティ研究者が以前から主張してきた「遅かれ早かれ、Macのセキュリティに対する過信の根拠はなくなる」という予測を証明するものでもある。

　「（不審なWebサイトにアクセスして感染したユーザーが）Macを使うようになった。ほとんどのマルウェアの標的はWindowsだからだ。けれどもすぐ、どのOSを使っているかは問題でなくなるかもしれない」とSymantecの浜田譲治氏は11月1日のブログエントリで述べている。

　米Sunbelt SoftwareとMacセキュリティソフトを手掛ける米Integoは、不正な細工をしたポルノ写真を配布するサイトにユーザーを誘導しようと、多くのMacフォーラムに大量のスパムメッセージが投稿されていると警告している。これらの写真は有名なポルノビデオから作成したもの。Macユーザーがビデオを見ようとして写真をクリックするとサイトに誘導され、QuickTime Playerでは再生できないというメッセージが表示されて、新しいコーデックをダウンロードするよう指示される。

　Sunbeltは、この偽のコーデックはTrojan.DNSChangerの一種だと報告している。以前からWindowsユーザーを苦しめていたマルウェアだ。Symantecセキュリティ対策チームはこれを確認し、この脅威をOSX.RSPlug.Aとして検出したと付け加えた。

　Integoの説明によると、ページをロードした後、ディスクイメージ（.dmg）ファイルがユーザーのMacにダウンロードされる。ユーザーがSafariブラウザの「一般」設定で「ダウンロード後、“安全な”ファイルを開く」をオンにしているか、ほかのブラウザで同様の設定にしている場合、このディスクイメージがマウントされる。この.dmgファイルには、インストーラを起動するインストーラパッケージが含まれる。

　あるいは、ユーザーがコーデックをインストールするには、この.dmgファイルをダブルクリックして、パッケージファイル「install.pkg」をダブルクリックする。

　ユーザーがインストールを続けると、トロイの木馬がインストールされる。インストールには管理者パスワードが必要で、このパスワードはトロイの木馬に完全なroot権限を与える。実際はビデオコーデックはインストールされず、ユーザーが再度ポルノサイトを訪れると、もう一度不正なファイルがダウンロードされるだけだ。

　このトロイの木馬は高度な手法を使っており、scutilコマンドでMacのDNSサーバを変更する。変更された不正なDNSサーバがアクティブなときに、Webリクエストを乗っ取って、eBay、PayPal、銀行などのアカウント情報を要求するフィッシングサイトか、ほかのポルノサイトの広告を掲載したページにユーザーを誘導する。「前者の場合、ユーザーは本物のサイトだと思ってユーザー名やパスワード、クレジットカード情報、口座番号を入力し、個人情報を盗まれてしまうかもしれない。後者の場合は、もっぱら広告収入が目当てのようだ」とIntegoはプレスリリースで述べている。

　Mac OS X 10.4を走らせている場合、GUIで変更されたDNSサーバを表示する方法はない。バージョン10.5の場合は、「Advanced Network」設定で表示できるとIntegoは説明している。ただし、トロイの木馬がインストールしたDNSサーバは薄く表示され、手動で削除できない。Integoは旧版のMac OS Xをテスト中であり、これらのバージョンにもscutilコマンドがあるため、脆弱である可能性が高いとしている。

　このマルウェアは、不正なDNSサーバがまだアクティブかどうかを常にチェックするroot crontabもインストールする。ネットワークロケーションを変えるとDNSサーバも変わる可能性があるため、そのような場合に、不正なDNSサーバがアクティブサーバのままであることを確認するとIntegは解説している。

　heise Securityのヨーガン・シュミット氏は、このマルウェアは同社が最近発見したLeopardのファイアウォールのセキュリティホールに関連していると語る。ユーザーが偽のビデオコーデックをインストールすると、Leopardシステムのリモート攻撃を可能にするバックドアがインストールされる。この場合、Leopardシステムの前にハードウェアファイアウォールを設置していなければ、外部からの接続をすべて遮断するようLeopardのファイアウォールを設定していても、リモート攻撃が可能という。

　シュミット氏は、このトロイの木馬は、おそらくはユーザーの国に応じて別のバージョンを提供しており、各国特有の偽装をしていると指摘する。「何度もディスクイメージをダウンロードする点が、複数のバージョンの存在を示している」

　Matasano Securityの創設者トム・プタセク氏は、今回のMac攻撃は大きくはないが現実の脅威であり、Windowsユーザーが日々直面している昔からのシナリオと同じだと語る。

　とは言え、これが「兵器化された」最初のMac OS Xマルウェアであることを考えると、興味深い話ではある。腕自慢が目的の以前のMac OS Xマルウェアと違って、今回は金銭が目当てだとプタセク氏は言う。Windowsの世界で昔からある話と同じだ。

　当然ながら、セキュリティ界には「だから言ったのに」的な警告が少なからずある。「前々から、MacユーザーはPCのセキュリティのお粗末さを鼻で笑っていた。だがそうした横柄な態度は（歴史を見れば分かるように）明らかに危険だ。誤った安心感を作り出すからだ。今やMacユーザーはもう少し慎重でなければならない（ポルノを見たいときはすぐに見たいからだ！）。セキュリティが不十分なLeopardがリリースされ、われわれは、Macユーザーでも、人間の愚かさ、もといソーシャルエンジニアリングに対する完ぺきな対策はないと気づいている」とSunbeltのアレックス・エッケルベリー社長は10月31日のブログエントリで述べている。「断っておくが、われわれは多くのコンピュータを持っており、その中にMacも1台ある。わたしはMacが好きだ。尊大な態度はあまり気にしていない」

　だがプタセク氏は、「Matasanoは、Mac OS X用のウイルス対策ソフトを買う人を笑っている」というこれまでの主張を改めて述べている。今回のトロイの木馬の出現でそれが変わることはないという。

　「Leopardを標的とするマルウェアは実質的にはない。2007年に100種を超えるRSPlugが見つかったとしても、マルウェア市場におけるMac OS Xのシェアは、リアルワールドのMac OS Xの市場シェアと同じ道はたどらないだろう」（同氏）

原文へのリンク