Macマルウェアに対する最良の武器は、あなたの知性です。不正ソフトウェアの特徴を理解し、Macを正しく設定することで、乗っ取りを回避できます。先週、Backdoor.MAC.EleanorとOSX/Keydnapという2つの新たなOS Xマルウェアが確認されました。どちらも、Macの設定が過度に緩くない限り、実行がブロックされます。Macを脆弱な状態に設定できる機能も、macOS Sierraで改善される予定です。
以前にもここで書いたように、マルウェアの問題は、セキュリティとプライバシーを扱うコラムの読者であるあなた自身にあるのではありません。むしろ、あなたの知っている、技術に詳しくないけれどコンピューターを使う人たちの行動にあります。5歳でも、35歳でも、95歳でも、時には非常に無知な人たちです。
Appleは、ソフトウェア開発者全体と同様に、教育の重荷を背負っている。マルウェアはAppleが作り出した問題ではないものの、顧客に影響を与え、Mac App Store内外を問わずサードパーティ製ソフトウェアの購入を躊躇させる要因となるからだ。(例えば、中間者によるソフトウェアハイジャックを減らすために、開発者はウェブサイトとファイルのダウンロードをhttps配信に完全に切り替える必要があると、数ヶ月前に記事を書いた。)
しかし、このコラムを読んでくださっている皆さんは、Macの設定方法、マルウェアの実行回避方法、そして一般的に騙されにくい方法など、Macに関するアドバイスを求める人たちに情報を提供することもできます。多くの人はウェブサイトやダウンロードしたソフトウェアの言うことを何でも信じてしまいがちですが、それはOSの脆弱性よりも大きなリスクです。
力はあなたの中にあります
一部のマルウェアは、回避策がありません。これは主に、オペレーティングシステムの脆弱性を悪用し、検証なしに、あるいは本来の姿ではないものを装ってインストールするソフトウェアです。研究者やオペレーティングシステムの開発者による迅速な発見に頼るしかありません。
Appleは、マルウェアを識別して実行をブロックする「シグネチャ」のリストであるXProtectを隠し持っています。XProtectは、macOS上でのアプリやその他のコンポーネントの動作を制限するGatekeeperの、ラベルのない部分です。(Integoはこれらのアップデートを追跡していますが、Appleは個別の情報を発表していません。)
しかし、先週の 2 つのような攻撃ソフトウェアでは、感染するためには、その前に設置されたブロックをユーザーが乗り越える必要があります。
Backdoor.MAC.Eleanorは、EasyDoc Converterという名前で配布されているトロイの木馬です。同僚のLucian Constantinが指摘しているように、このマルウェアは「Macソフトウェアを提供する評判の良いウェブサイトを通じてファイルコンバータアプリケーションとして配布」されていますが、実際には何もしません。私は以前にも、開発元以外のサイトからソフトウェアをダウンロードすることについて警告してきました。特に、多くのダウンロードサイトが、アドウェアやその他の不要なアプリもインストールするインストーラーの中にソフトウェアをパッケージ化している現状を踏まえると、なおさらです。
OSX/Keydnap の配布ベクトルは不明ですが、ZIP アーカイブの形式で配布され、これを解凍してから、内部のファイルをダブルクリックして起動する必要があります。
どちらのアプリも、有効なApple開発者証明書によって署名されていません。Appleは開発者プログラムへの参加を誰でも許可しており、アプリはAppleの承認を得なくても、暗号化された有効な証明書で署名できます。ただし、Mac App Store(MAS)でアイテムを購入するには、Appleの承認が必要です。
署名のないアプリは、2つの方法のいずれかでのみ起動できます。1つ目は、ダウンロード後にアプリを右クリックし、コンテキストメニューから「開く」を選択し、署名のないアプリであっても起動することに同意することです。この操作は初回起動時にのみ実行すればよく、それ以降はアプリの属性の変更として保持されます。2つ目は、システム環境設定の「セキュリティとプライバシー」の「一般」タブで「ダウンロードしたアプリの許可」が「すべての場所」に設定されていることです。ほとんどの場合、「Mac App Storeと確認済みの開発元からのアプリ」が適切な設定です。
このオプションが初めて登場したとき、開発者やベテランMacユーザーは不安を抱きました。なぜなら、MASからのみアプリを起動する3つ目のオプションしか残らない時代が来ると思われたからです。これは、誰かのためにコンピュータを管理していて、セキュリティなどの理由でエコシステム外のソフトウェアを誤ってインストールされるのを防ぎたい場合に有効です。
macOS Sierraでは、Gatekeeperオプションが簡素化されました。「どこでも」という選択肢がなくなり、「Mac App Store」または「Mac App Storeと確認済みの開発元」のみが残りました。ただし、署名されていないアプリは、上記の右クリックシーケンスで引き続き起動できます。常にこの操作を必須にすることで、誰かが誤って設定してしまう可能性を低減します。El Capitanでは、システム整合性保護によって別の方法でリスクが高まりました。これにより、ソフトウェアが多くのシステムファイルやフォルダの内容を変更することがほぼ不可能になり、小さなミスが大きな失敗につながる可能性が低減されます。
同僚の中には、それぞれの分野や業界において、便利なユーティリティ(中にはめったにアップデートされないものもあるが、それでも動作するものもある)を開発するソフトウェア開発者の多くが、Appleの署名システムを通過する手間を惜しんだり、その気配りがなかったりして、署名なしでアプリを配布しているという話も聞きます。ソフトウェアを惜しみなく配布する人に対して文句を言うのは容易ではありませんが、彼らはユーザーに未知のパッケージを開くように仕向けることで、全体的なリスクを高めているのです。
教訓
1週間にMacを狙ったマルウェアが2件も出現するのは稀なケースであり、何の前兆も見られないかもしれません。コンピューター、モバイルデバイス、ネットワークに侵入するソフトウェアを開発する犯罪組織や独立系開発者は数多く存在しますが、Appleが設定した高いハードルによって、攻撃者にとって容易な標的とはなり得ません。
しかし、これは私や多くの人が長年警告してきたことの兆候でもあります。Macは感染から逃れられないのではなく、ただ耐性があるだけです。コンピュータ市場におけるシェアが小さく、ほとんどのユーザーがOSを次々と新しいバージョンにアップグレードしているため、十分な収益を上げられていません。しかし、状況は変わり、インストールにユーザーの介入を必要とするようなマルウェアが、より日常的なものになるかもしれません。
他の人にアドバイスをしたい場合は、次の点が重要です。
- ソフトウェアを作成した開発者のサイト以外からソフトウェアをダウンロードしないでください。
- OS X El Capitan 以前のリリースの Gatekeeper を、Mac App Store のダウンロードと識別されたアプリ開発者によるダウンロードのみを起動するように設定しておきます。
- 開かないアプリは絶対に右クリックしないでください。もし右クリックしたとしても、開発元が不明であるという警告を無視しないでください。
