4月には、Javaの脆弱性を利用してユーザーのコンピュータにインストールされていたFlashbackトロイの木馬に、60万台以上のMacが感染したと報告されました。Flashbackトロイの木馬は、これまでで最大のMacマルウェアの脅威と考えられています。セキュリティベンダーやAppleがFlashback(別名Flashfake)を検出・削除するためのツールを公開したことで、SabPubと呼ばれる新たな脅威が登場しました。Flashbackと同様に、SabPubはJava仮想マシンの脆弱性を悪用しますが、Kaspersky Labの研究者は、チベットに関する6つのMicrosoft Word文書も発見しました。これら全てにこの脆弱性が含まれていました。
カスペルスキー研究所のチーフセキュリティエキスパート、アレクサンダー・ゴステフ氏は次のように述べています。「SabPubバックドアは、攻撃から安全なソフトウェア環境は一つもないことを改めて示しています。Mac OS Xを標的としたマルウェアの数が比較的少ないからといって、保護が強化されているわけではありません。FlashfakeやSabPubといった最近のインシデントは、保護されていないMacユーザーの個人データも危険にさらされていることを示しています。これは、サイバー犯罪者がMacの市場シェアの拡大を理解しているか、あるいはApple製コンピューターへの攻撃を直接的に行うために雇われているかのどちらかです。」
これらの事例、特にFlashbackは注目を集めましたが、PCの世界で日常的に発生しているセキュリティ侵害に比べれば、まだ軽微なものです。しかしながら、これらの広く報道されたMacマルウェアの例は、多くのMacユーザーが信じているほどMacが攻撃から安全であるのか、そしてAppleがセキュリティに対する評判を維持できるのかという疑問を提起しています。
Appleへの最大の批判は、おそらく事態への対応方法だろう。まずAppleは、MacBotの規模を最初に明らかにしたDr. Webの研究者が使用していたドメインを閉鎖しようとするという、不運な選択をした。Dr. WebのCEO、ボリス・シャロフ氏によると、このドメインは偽装されたコマンド&コントロールサーバー(別名「シンクホール」)として利用されており、乗っ取られたマシンを監視してその行動を解明するために設計されていたという。この調査を通じて、セキュリティ企業はAppleのボットネットの規模が60万台を超えるMacであると報告することができた。どうやらAppleは、このドメインが感染したコンピュータの「コマンド&コントロール」サーバーとして使用されていると主張して報告したようだ。これは単なるミスだったのかもしれない。あるいは、懐疑的な人は、AppleがFlashback感染の規模に関する情報を最小限に抑えようとしていたのではないかと考えるかもしれない。
Appleも対応の迅速さが不十分だったと批判された。4月2日、F-Secureはブログで次のように主張した。「CVE-2012-0507(Javaの脆弱性)を悪用する、Flashbackの新たな亜種(Macマルウェア)が確認されました。私たちは以前からこのような事態を予想していました。Oracleは2月にこの脆弱性を修正したアップデートをリリースしました…Windows版については。しかし、Appleは(まだ)OS X版のアップデートをリリースしていません。」
もしAppleがセキュリティ問題についてもっと透明性を保ち、Flashbackの修正プログラムをすぐにリリースしていたら、被害はもっと小さかったかもしれないという意見もある。AppleがOS X Lion 2012-001用JavaアップデートとMac OS X 10.6用Javaアップデートをリリースしたのは4月4日になってからだった。Appleはその週の後半にLion版のアップデートをさらにリリースした。問題のセキュリティホールは2月にWindowsユーザー向けに修正プログラムが提供されている。ちなみに2月には、MacセキュリティベンダーのIntegoが、Flashbackマルウェアの亜種がJavaの脆弱性を悪用してオンライン決済、銀行、クレジットカードのウェブサイトのユーザー名とパスワードを盗むことを明らかにしていた。当時Integoは、Flashback.Gが2つのJavaのバグを悪用していると主張していた。1つは2008年に遡り、もう1つは2011年に発見されたものだ。
Flashbackの出現は2月よりもさらに遡ります。IntegoのMacセキュリティブログによると、同社は2011年9月にFlashbackがMacを標的にしていることを認識していました。当初はOS X Lion用のFlash Playerインストールパッケージを装っていました。4月には戦術が変化し、FlashbackがJavaの脆弱性を悪用し、ウェブサイトにアクセスするだけでMacに感染するようになったことが確認されました。Integoは、このマルウェアがニュースで取り上げられる前から保護対策を提供していたと主張しています。
注目すべきは、Integoを除くセキュリティおよびウイルス対策ベンダーのほとんどが、Appleよりも迅速に解決策を提供しなかったことです。マルウェアを早期に検出するための手順を提供したF-Secureは、隔離・削除ツールを最初に提供した大手セキュリティベンダーでした。KasperskyとSymantecもすぐに追随し、Appleもそれに続きました。当然のことながら、Flashbackの件でMac向けセキュリティソフトウェアの売上が急増しました。
とはいえ、Appleはエンジニアがパッチを作成次第、修正プログラムをリリースし、その後も必要な修正を速やかに実施し、最終的に4月16日には未感染のMacを保護し、感染があれば駆除するツールをリリースしました。Appleはソフトウェアアップデート基盤を活用し、定期的にAppleのソフトウェアアップデート通知の受信に同意しているユーザー(この脅威について聞いたことがなくても)を保護しました。
Flashback MacBotは減少傾向にあります。シマンテックは、MacBotの感染台数は4月16日までに14万2000台に減少し、4月17日には9万9000台を下回る可能性があると報告しています。しかし、Sabpabというトロイの木馬もMacを標的としているため、MacユーザーはAppleの最新セキュリティアップデートでJavaを更新しているため保護されていると考えているのではないかという懸念があります。しかし、実際には最新の脆弱性から安全ではありません。ソフォスのグラハム・クルーリー氏は、「以前のSabpabの事例とは異なり、今回の攻撃はFlashbackボットネットが悪用したJavaの脆弱性とは一切関係がありません。Javaを使用していないから保護されていると考えているMacユーザーは、それが効果的な防御策ではないことを認識する必要があるでしょう」と警告しています。
この一連の騒動は、MacもPCと同様にマルウェアに対して脆弱であるという警鐘を鳴らすものだ。Apple、Microsoft、その他の企業が採用している特定のセキュリティ技術について異論を唱えることは可能であり、そうした議論には一理ある。しかし、Macユーザーがセキュリティ上の懸念を無視し、感染の可能性を軽視できた時代は過ぎ去った。AppleのMac App Store、OS X Mountain Lion、そして近日開始予定のApple Developer IDプログラムといった取り組みは、セキュリティ対策としては有効だが、多くのMacユーザーが1か月前に享受していたような安心感を取り戻すことはできない。
次期iPhoneではガラスの代わりに液体金属が使用される
ダイジェスト: Mac Flashback Trojanの歴史
Apple TVにはSiri、iTunes、モーションコントロールゲームコンソールが搭載される
