4月3日にAppleから新しいセキュリティアップデートがリリースされた。その中に「About Java for OS X Lion 2012-001」というパッチがある。10.7からアップデートしたので10.7用になっているが、同じセキュリティアップデートは10.6.8にも用意されている。
マルウェアとは悪意のあるソフトウェアや悪質なコードの総称のことらしい。ウイルスという呼び名では括れない有害なソフトが増えたので、マルウェアという呼び方が使われることが多くなった。「Flashback」は分類するとトロイの木馬ということになるようだ。
4月3日のセキュリティアップデートを受けてか、CNETに4月5日にFlashbackの感染はすでに60万台に及ぶという記事が載った。ご丁寧に「そのうちの274台はカリフォルニア州クパチーノ」というツイート情報も掲載された。クパチーノにあるからといって、Apple社内にあるとは限らないが、Appleのお膝元でも蔓延してることは確からしい。被害に遭っているのはMac OS X 10.6が最も多いそうだ。
「Flashback」については、CNET以前にITmedieaに何度も掲載されていた。初期の記事は2011年の11月である。おそらくその頃は感染のフェーズが見えてなかったのだろう。11月の記事を読むと、この時点でのFlashbackには「Flashback.C」という亜種が登場し、XProtectUpdaterを無効するという。記事によると、
Mac OS Xには「XProtect」と呼ばれるウイルス対策アプリケーションが組み込まれ、定義ファイルを自動的に更新して、自動的に更新して、新手のマルウェア検出に対応する仕組みとなっている。
だそうである。つまりMac OS Xには最初からセキュリティソフトが組み込まれているが、敵は最初にそのセキュテリィソフト「XProtect」を上書きして殺してしまうわけである。賢い。
それではFlashbackはどのような悪さをするのだろうか。それについては2月24日の記事が詳しい。
Webブラウザなどのネットワークアプリケーションに不正なコードを挿入し、ユーザーネームとパスワードを収集
するそうである。「SafariやSkypeなどがクラッシュ」しやすくなるというから、Webブラウザにあるログイン情報を盗むのだろう。盗んだログイン情報でどのような悪事を働いているのかはわからない。
さらに今年2012年の3月記事ではFlashbackに感染したマシンはTwitter経由で命令を受け取るという。「IntegoはFlashbackが使っていた128ビットのRC4暗号を解読してハッシュタグを生成する仕組みを解析」とも書かれているので、感染マシンがハッシュタグを勝手に書き込んでいる可能性がある。
感染すると「リモートのサーバからトロイの木馬などのマルウェアを次々に呼び込み、マシンを制御」するという。しかし「特に症状も出ないことから感染しても気付かない」というから、ほとんど手の打ちようがない。被害が不明だが、感染の程度はインフルエンザに例えると「フェーズ6」に達した。
対策は4月3日のセキュリティアップデートを適用するしかない。しかしこのアップデートはFlashbackのインストールを防御するだけである。FlashbackがJavaの脆弱性を突いてインストールされているので、その脆弱性を塞ぐだけである。それでもインストール時に証明書が信頼できないというアラートが表示されるだけ(アップデーターが適用されていないときは、アラートは表示されない)。
あなたのマシンがもしFlashbackに汚染されていないとしたとき、対策は2つ。最新のアップデーターをインストールする。そして2つ目はWebにあるJavaアプレットをインストールしないことである。Javaアプレットの中には、成り済ましたFlashbackがあるからである。
「Flashback.39」という亜種は、Webサイトを改竄してJavaアプレットとしてサイトに置かれているという。有益なJavaアプレットと思ってインストールするとFlashbackだったりする。「Google検索では3月末の時点で改ざんされたWebページが400万以上見つかったとの情報」もあるという。そうなると、初心者はWebブラウザでJavaの使用をオフにするくらいしない。Javaアプレットをインストールしなければ、Flashbackもインストールされないだろう。
*SafariのセキュリティでJavaを無効にする
あとはFlashbackの検知し削除してくれるソフトの配布を待つしかなさそうだ。ちなみに、Flashbackというのは最初Flash Playerのインストーラに見せかけていたからだ。はてさて、いまでもFlash Playerのインストーラに見せかけたFlashbackは生き残っているのだろうか。
◆About the security content of Java for OS X Lion 2012-001 and Java for Mac OS X 10.6 Update 7[Apple]
http://support.apple.com/kb/HT5228
◆Mac狙いのマルウェアに新機能か、ウイルス対策アプリを妨害[ITmedia]
http://www.itmedia.co.jp/enterprise/articles/1110/20/news021.html
◆Mac狙いのマルウェア「Flashback」に亜種出現、さらに巧妙な手口で感染広げる[ITmedia]
http://www.itmedia.co.jp/enterprise/articles/1202/24/news024.html
◆Mac狙いのマルウェア、感染マシンの制御にTwitterを利用[ITmedia]
http://www.itmedia.co.jp/enterprise/articles/1203/06/news060.html
◆Mac狙いのマルウェア、55万台以上のMacに感染か Javaの脆弱性突く手口で猛威[ITmedia]
http://www.itmedia.co.jp/news/articles/1204/06/news019.html
PS.Flashbackに感染しているか調べる方法がすでに掲載されていました。ターミナルで、SafariとFirefox内のアプリを調べればいいようです。ターミナルから削除できます。
◆60万台以上が感染しているトロイの木馬「Flashback」に感染しているか調べる方法[Macの手書き説明書]
http://veadardiary.blog29.fc2.com/blog-entry-3809.html
【関連する記事】
- 手のひらタブレットiPad miniで世界征服を狙うアップルのiOSワールド
- Xcode4本をiBooks Authorの読み上げ機能で文字校正してみる
- Xcodeのアイコン用のアクションファイルを作成する
- Mac OS X Lion、Ethernetカスケード接続の怪
- iPadでペーパーレス化が進み、生まれるマーケット
- スティーブ・ジョブズ伝記はジョブズの遺言か
- ジョブス亡きアップルの展望はいかに〜死せるジョブズ、生ける我々をまだまだ驚かせる..
- iPad3を予感させるソフトバンクiPad2キャンペーン
- iTunesに欲しいiOSシミュレータ
- EPUB2とEPUB3でするインラインルビ作成講座、組み込みアプリにする
- 『印刷営業、明日はどっちだ』メタデータリジェクトされる
- 「InDesignの鉄則」アプリ、既存アプリからリプレース
- 組み込み型アプリ内課金、Best RegardsとRegardsの違い #den..
- iPhoneアプリ内のPDFをPaypal決済にしました
- 『InDesignからEPUB』iPhoneサイズ版を追加しました。
- App Storeプロモーション、2つの方法を売り込まれる
- Illustrator使いこなしの鉄則、iPhoneアプリ化できました。
- SakuttoBookでする情報の非表示と解像度のカスタマイズ
- 『Illustrator使いこなしの鉄則』をiPhoneアプリにする
- アプリ内課金、トップアドオンの秘密