4月4日、ロシアのアンチウイルスベンダーDr.Webは、50万台以上のMacがトロイの木馬「Flashback」の最新亜種に感染したという強力な証拠を発表しました。F-Secureのチーフリサーチャー、ミッコ・ヒッポネン氏がTwitterで指摘したように、Macの台数が約4,500万台だとすると、Flashbackは現在その1%以上に感染しており、MacにおけるFlashbackの蔓延状況は、WindowsにおけるConfickerとほぼ同程度です。Flashbackは、ウイルスが感染したフロッピーディスクを介して拡散されていた時代以来、最も蔓延しているMacマルウェアのようです。Macコミュニティを襲ったマルウェア感染の中で、史上最悪のものとなる可能性もあります。
ここでは、Flashback について知っておくべきこと、Flashback に対して何ができるか、そしてそれが Mac セキュリティの将来にどのような意味を持つのかを説明します。
フラッシュバックとは何ですか?
Flashbackは、2011年9月に発見された悪質なソフトウェアプログラムの名称です。このプログラムは、Adobe Flashのインストーラーを装ってユーザーを騙し、インストールさせようとしました。(ウイルス対策ベンダーのIntegoは、Flashbackは昨年発生したMacDefender攻撃の背後にいる同じ人物によって作成されたと考えています。)Flashbackのオリジナルバージョンとその初期の亜種は、ユーザーによるインストールに依存していましたが、この新しい形態は、セキュリティ業界ではドライブバイダウンロードと呼ばれています。つまり、ユーザーによるインストールを必要とせず、Flashbackはパッチ未適用のJavaの脆弱性を利用して自身をインストールします。
Flashback をホストする悪意のある(または意図せず感染した)ウェブサイトにアクセスすると、このプログラムは特別に細工された Java アプレットを表示しようとします。(Flashback をホストしているウェブサイトの数は現時点では把握していません。)Web ブラウザに脆弱なバージョンの Java がインストールされ、有効になっている場合、悪意のあるコードがシステムに感染し、一連のコンポーネントがインストールされます。Apple は 4 月 3 日までこの脆弱なバージョンの Java のアップデートをリリースしなかったため、多くのユーザーが影響を受けており、現在も影響を受けています。
Flashbackは最初の感染後、ソフトウェアアップデートウィンドウを開いて管理者パスワードを取得しようとしますが、これはMacにさらに深く潜り込むためだけに行われます。この時点で騙されなかったとしても、感染は依然として続いています。
Macへの感染に成功すると、FlashbackはSafariに侵入し、(F-Secureによると)ユーザー名やパスワードなどのWeb閲覧履歴から情報を収集するようです。そして、収集した情報をインターネット上のコマンド&コントロールサーバーに送信します。
重要なのは、これまで見てきた他のMacマルウェアのほとんどとは異なり、Flashbackは、感染したWebページにアクセスし、脆弱なソフトウェアを使用しているだけでシステムに侵入できるということです。管理者パスワードを入力したり、手動で何かをインストールしたりする必要はありません。
私は危険にさらされているのでしょうか?
次の 4 つの基準を満たす場合は危険にさらされています。
1. MacにJavaがインストールされているか確認する方法の一つは、ターミナルを開いてjava -versionプロンプトに入力することです。Javaがインストールされている場合は、バージョン番号が表示されます。OS X 10.6 Snow Leopardではデフォルトでインストールされていますが、OS X 10.7 Lionではインストールされていません。(ただし、初めて実行する必要があるときにはインストールされるため、ほとんどのMacにはインストールされている可能性があります。)
2. OS X Lion 2012-001 用の Java(OS X Lion をご利用の場合)または Mac OS X 10.6 Update 7 用の Java(Snow Leopard をご利用の場合)がインストールされていないか、いずれかがインストールされる前に感染した可能性があります。どちらのアップデートも Java バージョン 1.6.0_31 をインストールします。java -version上記のコマンドを実行すると、このバージョンがインストールされているか確認できます。
3. ブラウザでJavaアプレットの表示を許可しています。Safariでは、「環境設定」>「セキュリティ」>「Webコンテンツ」に移動し、「Javaを有効にする」オプションにチェックが入っているかどうかを確認してください。チェックを外すことで、このオプションをオフにすることができます。
4. Little Snitch、Xcode、およびいくつかのマルウェア対策ツールなど、Flashback がチェックする特定のセキュリティ ツールが Mac にインストールされていません。
ウイルス対策ベンダーは、この特定のバージョンのFlashbackが出現してから数日間は検出できなかったようですが、Integoを含む一部のベンダーは3月下旬にアップデートを提供してユーザーを保護しました。マルウェアは以前のバージョンのコードの一部を共有していることが多く、新しいバージョンを検出するためのアップデートが適用される前のウイルス対策製品で検出できる可能性がありますが、このような保護対策の効果は期待外れです。
感染しているかどうかはどうすればわかりますか?
F-Secureは、Macのチェック手順を公開しています。ターミナルでいくつかのコマンドを実行する必要があります。最新のシグネチャがインストールされていれば、すべてのウイルス対策製品でこの時点で検出されるはずです。(通常はセキュリティアプリの設定から手動で設定できますが、製品によって異なり、ほとんどの製品は自動更新されます。)
どうすれば自分を守れるでしょうか?
まず最初に、ソフトウェアアップデートを実行し、最新のパッチが適用されていることを確認してください。これにより、現在の脆弱性を悪用した感染を防ぐことができます。他に既知の感染経路はありません(ただし、ユーザーを騙してインストールさせる方法は除きます。この方法はすぐには消えず、Javaに依存しません)。
将来的にドライブバイマルウェア感染の可能性を減らすために、他にいくつかお勧めの方法があります。
SafariなどのWebブラウザでJavaを無効にしてください。Flashとは異なり、最近はほとんど必要ありません。Safariでは、「環境設定」→「セキュリティ」→「Webコンテンツ」で「Javaを有効にする」のチェックを外してください。TidBITSの皆さんが、ChromeとFirefoxで同様の設定を行うための手順とスクリーンショットを投稿しています。
Flashをアンインストールし、Google Chromeをブラウザとして使用してください。Google Chromeにはサンドボックス化されたFlashが組み込まれており、攻撃者がシステムに感染する可能性を低減します。Flashアンインストーラをダウンロードし、Google Chromeをインストールしてください。
Javaが全く必要ない場合は、無効にしてください。Java設定ユーティリティは/アプリケーション/ユーティリティにあります。「一般」タブに表示されているバージョンの横にあるチェックボックスをオフにしてください。ただし、CrashPlan(私が使っているもの)などの一部のプログラムはJavaを必要とするので注意してください。しかし、Mac市場にはそのようなアプリはあまりありません。
私は今でもSafariを使っていますが、Flashが必要な時はGoogle Chromeに切り替えます。この種の攻撃を恐れて、ここ数年ブラウザでJavaを実行できないようにしています。Macのウイルス対策ツールは役立つかもしれませんが、それでもすべてを検出できるわけではありません。とはいえ、現在のプログラムは以前に比べて侵入性やパフォーマンスの低下が大幅に軽減されており、SophosやClamXavなど一部のプログラムは無料版を提供しています。ウイルス対策ツールは完璧ではないことを忘れないでください。これらのツールが特定のマルウェアに対する防御機能を備えていない場合、新しいマルウェアに感染する可能性があります。多くのWindowsユーザーは、日々この教訓を身をもって学んでいます。
感染した Mac は本当に 50 万台以上あるのでしょうか?
はい、本当にそのように見えます。
独立した検証は行っていないものの、Dr. Webが感染を測定するために用いた手法は妥当性があると考えられます。シンクホールと呼ばれる手法を用いて、Dr. Webはコマンド&コントロール(C&C)トラフィックを自社の分析サーバーにリダイレクトしました。感染したMacはそれぞれ、サーバーに接続する際に固有のデバイスIDを提供するため、Dr. Webはマシンごとに感染数をカウントできます。これは、IPアドレス(複数のMacで共有されている可能性があります)に基づいて接続数をカウントするよりも正確です。
この主張を裏付ける事例証拠もあります。Ars TechnicaのFlashbackに関する記事へのリンクを貼ったジョン・グルーバー氏は、Daring Fireballの読者に対し、Macをチェックして感染しているかどうかを知らせるよう呼びかけました。6時間かけて、グルーバー氏は約12名の読者(概して経験豊富なMacユーザー)から感染の報告を受けました。
これは以前の Mac マルウェアと違うのでしょうか?
Flashbackは、Macを攻撃する初めての広範なドライブバイマルウェアです。これはWindowsユーザーを長年悩ませてきた最も悪質な攻撃手法の一つであり、大きな進歩と言えるでしょう。
Macを狙うマルウェアの多くは、海賊版ソフトウェア、マイナーなゲーム、非標準のビデオプレーヤーなど、一般ユーザーがインストールする可能性の低いソフトウェアプログラムに潜んでいます。Flashbackはユーザーの介入なしに脆弱なコンピュータに感染する可能性があるため、はるかに深刻な脅威となります。Windowsの世界で見られたように、これは非常に効果的な手法です。
Intego 社は、過去数日間で数十の新しい亜種を検出したと述べており、これはマルウェア作成者が感染の存続期間を延ばすために懸命に取り組んでいることを意味している。
Appleに責任はあるのでしょうか?
Flashbackが悪用するJavaの脆弱性は、Oracle(Sun Microsystemsの買収に伴いJavaを継承)によって2月に修正されました。しかし、AppleはOS Xにパッチ適用版をアップデートするまでに約2ヶ月も待ちました。
これはMacにとって最大のセキュリティ問題です。OS Xには、サードパーティベンダーやオープンソースソフトウェアコミュニティから提供された多数のソフトウェアコンポーネントが含まれていますが、Appleはこれらのコンポーネントのアップデートにおいて非常に厳しい実績を残しています。ある脆弱性が別のプラットフォームではパッチが適用されているにもかかわらず、別のプラットフォームではパッチが適用されていない場合、攻撃者はパッチ未適用のシステムに侵入するための直線的なロードマップを手に入れることになります。
Appleは、現在のOS XバージョンにFlashやJavaを搭載しないことでこうした攻撃を防げると考えているかもしれないが、依然として多くのユーザーがこれらのツールをインストールしている。Appleは製品のセキュリティ向上において驚異的な進歩を遂げてきたが、既知の脆弱性へのパッチ適用が遅れていることは依然として問題である。
これは Mac 上のマルウェアの将来にとって何を意味するのでしょうか?
フラッシュバックは、MacがWindowsコンピュータと同じくらいマルウェアに感染するようになることを必ずしも意味するものではありません。しかし、このプラットフォームのセキュリティの未来は、Appleと昔ながらの幸運に大きく左右されます。
ドライブバイ攻撃は、WebブラウザやWebページを閲覧するソフトウェア(メールやRSSリーダーなど)の脆弱性を悪用します。脆弱なソフトウェアを実行するだけでは不十分です。そのソフトウェアが悪用可能、つまり攻撃者がシステムに侵入できる状態である必要があります。Appleは、Macに脆弱性がある場合でも悪用される可能性を低減し、攻撃による潜在的な被害を最小限に抑えるために、アドレス空間レイアウトのランダム化(ASLR)、サンドボックス、DEPといった一連の技術を導入してきました。しかし、これらの技術は完璧ではありません。特に、JavaやAdobe FlashのようなWebコンテンツを実行する複雑なプログラムが関係する場合はなおさらです。
Appleは、脆弱性が判明しているソフトウェアへのパッチ適用をより迅速に開始する必要があることは明らかです。Flashbackの成功を受けて、次に攻撃者がこの機会を逃した際には、より迅速に行動を起こすことは間違いありません。AppleはSafariのサンドボックス化をさらに検討すべきです。また、FlashとJavaを個別にサンドボックス化する可能性も検討すべきです。Javaが技術的に実現不可能な場合は、これらの技術ベンダーとより直接的に協力し、サンドボックス化されたMac版を開発すべきです。Adobeは最近、Windows版Acrobatにさらに強力なサンドボックス化を追加し、攻撃の有効性を低減しました。
Gatekeeper は今年後半にリリースされると、手動でインストールされるトロイの木馬の状況を大きく変えることになります。この攻撃の利益は大幅に減少し、攻撃の可能性も低くなります。
犯罪者たちは明らかにMacを狙っているようです。しかし、私たちは現状を冷静に見据える必要があります。Macを狙うマルウェアは、例えばAndroidスマートフォンを狙うマルウェアに比べると、依然としてはるかに少ないのです。しかし、Flashbackが重要な進展であることは間違いありません。これは、今後Macを狙うマルウェアが増加することを示唆していると私は考えています。また、こうしたマルウェアは稀にしか発生せず、一部の専門家が予測するような継続的な流行にはならないと確信しています。ただし、私たち全員が予防策を講じ、警戒を怠らない限りは。
[リッチ・モーグルは18年間セキュリティ業界で働いています。TidBitsに記事を執筆し、Securosis.comでセキュリティアナリストとして活動しています。 ]
