Mac OS Xワームは「ばらまき準備完了」?
セキュリティカンファレンスCanSecWestのMac Pwn-to-Ownハッキングコンテストでディノ・ダイ・ゾビ氏が発見したQuickTimeの攻撃コードを入手してリバースエンジニアリングしたと主張する人物が、先の週末に、Mac OS Xワームをロードしてばらまく用意ができていると明らかにした。
Infosecselloutと名乗るこの人物は自身のブログで、詳細不明のmDNSResponderのバグを悪用すると、リモートユーザーが特殊な細工を施したデータを送ることでroot権限を取得し、標的のシステム上で任意のコードを実行できると述べている(関連記事参照)。その後この投稿は説明なしで詳細が削除された。
7月15日の時点では、元の投稿にはこのワーム作者の率直な動機が書かれていた。「このワームを自分のために書いた。この仕事をわたしに頼んだ人たちのために、デモンストレーションを行う」とInfosecselloutは述べている。「そう、わたしは報酬をもらってこれを作成している(ハイ、ジョアンナ)」
セキュリティの話で、ジョアンナと言えば1人しかいない。ポーランドのInvisible Things Labの創設者で、「100%検出不可能な」rootkit「Blue Pill」に携わった有名な研究者ジョアンナ・ルトコウスカ氏だ。
だがルトコウスカ氏はeWEEKに対し、「この人物は知らない。この人が何を言いたいかも分からない。わたしの会社は誰にも金を払ってワームの作成を依頼したりしていない」と語った。
おそらく偶然なのだろうが、Infosecselloutのサイトからワームの詳細が消えたのと、このハッカーがCutaway Securityの7月17日のブログで取り上げられたのはちょうど同じ時期だったようだ。あるチャットルームの情報提供者によると、InfosecselloutはLMHと呼ばれる人物で、Phrack High Council(PHC)と関連があるという(この組織のサイトへのリンクは切れているが、ここにコピーがある)。
Infosecselloutの主張が事実だという証拠はないが、PHCの任務が情報セキュリティ業界を騒がせることだというのを考えると、本当でもおかしくない。この組織は2005年以来、以下のようなスローガンを掲げている。「ホワイトハット(善玉ハッカー)を虐殺してやる! ホワイトハットよ、おれたちのオーブンに入ってこい!」(ただし、問題のCutawayの投稿では、PHCの目的についてあまりはっきりとは書かれていない)
ともかく、Infosecselloutは元の投稿で、「いずれは」Appleに自分の成果を見せるつもりだと書いていた。「PoC(コンセプト実証コード)や関連する詳細情報を送ったりはしない。このワームを自分のために書いた。この仕事をわたしに頼んだ人たちのために、デモンストレーションを行う」とInfosecselloutは記している。
このやり方は、InfosecselloutがCanSecWestの一件で行った行為と整合する。このときInfosecselloutは、QuickTimeの攻撃コードを入手した証拠を見せるように言われて拒否した。
Infosecselloutのワームが実際に存在するのなら、Appleが5月に修正したmDNSResponderの脆弱性の、未パッチのバリエーションを利用しているとMcAfeeは指摘する。Infosecselloutは、このワームはリモートrootアクセスを可能にし、システムに入り込んでデスクトップにテキストファイルを置き、同じネットワークのほかのシステムに移ると説明している。
もしもこのワームが実在するのなら、そう――3年前に存在していた。
「(Infosecselloutが)話しているのは、脆弱性を悪用し、ファイルを置いて、ほかのシステムに移動する機能だ」とMcAfeeのAvert Labsのセキュリティ研究・コミュニケーションマネジャー、デイブ・マーカス氏は語る。「これはマシンからマシンへ渡り歩く古典的なワームだ」
Windows方面のワームのトレンドは、もっとデータ中心になってきているとマーカス氏は言う。InfosecselloutのPoCは、研究者がもう見かけないような古典的なワームだと同氏は指摘する。重要なポイントは自己複製するという点だけで、これは目につきやすい。ひそかに動作する最近の金目当てのマルウェアとは対照的だ。
こうした時代遅れな点にもかかわらず、Avert Labsは、Infosecselloutが単に業界で評判を高めるために宣伝しているだけのように見えても、掲示板やポートの動きを監視してこのMac OS Xワームの兆候を探すつもりだとマーカス氏は話している。
「この人物は確かに言うだけでなく実行している。当社の研究者が真剣に受け取っているのであれば、わたしも真剣に受け取る」(同氏)
関連記事
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。