Macを狙う標的型スパイウェア出現、正規のApple Developer IDを利用

[鈴木聖子，ITmedia]

　正規のApple Developer IDを使って署名されたマルウェアが出回り、Macを使っている人権活動家などの監視に使われているのが見つかったという。セキュリティ企業のF-Secureが5月22日のブログで伝えた。

　F-Secureによると、ドイツの捜査関係者から連絡を受けて調べたところ、Macを狙ったスパイウェア「OSX/KitM」が、2012年12月から2013年2月にかけて発生したスピアフィッシング攻撃に使われていたことが分かったという。

　この攻撃では、クリスマスカードに見せかけたファイルをメールに添付して送る手口で、狙った相手をOSX/KitMに感染させていた。OSX/KitMは、感染先のMacにバックドアを開いて攻撃側が操るルーマニアのサーバに接続し、画面のスクリーンショットを収集するなどの機能を持つとされ、スパイ活動や監視活動に使われているとみられる。

　OSX/KitMは先に、言論の自由を守る活動を行っている国際団体の活動家のMacでも感染が見つかっていた。

　このマルウェアは、Apple Developer IDを使って署名されていたという。Appleはその後、このIDを失効させる措置を取ったとF-Secureは伝えている。

　同社はOSX/KitMのようなマルウェアの感染を防ぐため、OS X Mountain LionとLion v10.7.5に搭載されているセキュリティ機能「Gatekeeper」の設定についてもアドバイスしている。

　設定画面は「システム環境設定」から「セキュリティとプライバシー」を選び、「一般」のタブを選択して表示する。この画面の「ダウンロードしたアプリケーションの実行許可」の項目は、デフォルトで「Mac App Storeと確認済みの開発元からのアプリケーションを許可」にチェックが入っている。これを「Mac App Storeからのアプリケーションのみを許可」に変更すれば、OSX/KitMのようなマルウェアは阻止できるという。