2012年04月06日

Mac OS X狙いのマルウェア「Flashback」はフェーズ6

 いままでMac OS Xでは邪悪なウイルスが猛威を振るったことは少ないが、「Flashback」はすでにアメリカを中心に60万台のMacintoshが感染しているという。Mac OS Xのウイルス対策を無効にし、Javaを使って感染を広げるというこのマルウェア「Flashback」の対策はあるのだろうか。

  4月3日にAppleから新しいセキュリティアップデートがリリースされた。その中に「About Java for OS X Lion 2012-001」というパッチがある。10.7からアップデートしたので10.7用になっているが、同じセキュリティアップデートは10.6.8にも用意されている。

 マルウェアとは悪意のあるソフトウェアや悪質なコードの総称のことらしい。ウイルスという呼び名では括れない有害なソフトが増えたので、マルウェアという呼び方が使われることが多くなった。「Flashback」は分類するとトロイの木馬ということになるようだ。

 4月3日のセキュリティアップデートを受けてか、CNETに4月5日にFlashbackの感染はすでに60万台に及ぶという記事が載った。ご丁寧に「そのうちの274台はカリフォルニア州クパチーノ」というツイート情報も掲載された。クパチーノにあるからといって、Apple社内にあるとは限らないが、Appleのお膝元でも蔓延してることは確からしい。被害に遭っているのはMac OS X 10.6が最も多いそうだ。

 「Flashback」については、CNET以前にITmedieaに何度も掲載されていた。初期の記事は2011年の11月である。おそらくその頃は感染のフェーズが見えてなかったのだろう。11月の記事を読むと、この時点でのFlashbackには「Flashback.C」という亜種が登場し、XProtectUpdaterを無効するという。記事によると、

Mac OS Xには「XProtect」と呼ばれるウイルス対策アプリケーションが組み込まれ、定義ファイルを自動的に更新して、自動的に更新して、新手のマルウェア検出に対応する仕組みとなっている。

だそうである。つまりMac OS Xには最初からセキュリティソフトが組み込まれているが、敵は最初にそのセキュテリィソフト「XProtect」を上書きして殺してしまうわけである。賢い。

 それではFlashbackはどのような悪さをするのだろうか。それについては2月24日の記事が詳しい。

Webブラウザなどのネットワークアプリケーションに不正なコードを挿入し、ユーザーネームとパスワードを収集

するそうである。「SafariやSkypeなどがクラッシュ」しやすくなるというから、Webブラウザにあるログイン情報を盗むのだろう。盗んだログイン情報でどのような悪事を働いているのかはわからない

 さらに今年2012年の3月記事ではFlashbackに感染したマシンはTwitter経由で命令を受け取るという。「IntegoはFlashbackが使っていた128ビットのRC4暗号を解読してハッシュタグを生成する仕組みを解析」とも書かれているので、感染マシンがハッシュタグを勝手に書き込んでいる可能性がある。

 感染すると「リモートのサーバからトロイの木馬などのマルウェアを次々に呼び込み、マシンを制御」するという。しかし「特に症状も出ないことから感染しても気付かない」というから、ほとんど手の打ちようがない。被害が不明だが、感染の程度はインフルエンザに例えると「フェーズ6」に達した

 対策は4月3日のセキュリティアップデートを適用するしかない。しかしこのアップデートはFlashbackのインストールを防御するだけである。FlashbackがJavaの脆弱性を突いてインストールされているので、その脆弱性を塞ぐだけである。それでもインストール時に証明書が信頼できないというアラートが表示されるだけ(アップデーターが適用されていないときは、アラートは表示されない)。

 あなたのマシンがもしFlashbackに汚染されていないとしたとき、対策は2つ。最新のアップデーターをインストールする。そして2つ目はWebにあるJavaアプレットをインストールしないことである。Javaアプレットの中には、成り済ましたFlashbackがあるからである。

 「Flashback.39」という亜種は、Webサイトを改竄してJavaアプレットとしてサイトに置かれているという。有益なJavaアプレットと思ってインストールするとFlashbackだったりする。「Google検索では3月末の時点で改ざんされたWebページが400万以上見つかったとの情報」もあるという。そうなると、初心者はWebブラウザでJavaの使用をオフにするくらいしない。Javaアプレットをインストールしなければ、Flashbackもインストールされないだろう。

120405-01.png
*SafariのセキュリティでJavaを無効にする

 あとはFlashbackの検知し削除してくれるソフトの配布を待つしかなさそうだ。ちなみに、Flashbackというのは最初Flash Playerのインストーラに見せかけていたからだ。はてさて、いまでもFlash Playerのインストーラに見せかけたFlashbackは生き残っているのだろうか。


◆About the security content of Java for OS X Lion 2012-001 and Java for Mac OS X 10.6 Update 7[Apple]
http://support.apple.com/kb/HT5228

◆Mac狙いのマルウェアに新機能か、ウイルス対策アプリを妨害[ITmedia]
http://www.itmedia.co.jp/enterprise/articles/1110/20/news021.html

◆Mac狙いのマルウェア「Flashback」に亜種出現、さらに巧妙な手口で感染広げる[ITmedia]
http://www.itmedia.co.jp/enterprise/articles/1202/24/news024.html

◆Mac狙いのマルウェア、感染マシンの制御にTwitterを利用[ITmedia]
http://www.itmedia.co.jp/enterprise/articles/1203/06/news060.html

◆Mac狙いのマルウェア、55万台以上のMacに感染か Javaの脆弱性突く手口で猛威[ITmedia]
http://www.itmedia.co.jp/news/articles/1204/06/news019.html




PS.Flashbackに感染しているか調べる方法がすでに掲載されていました。ターミナルで、SafariとFirefox内のアプリを調べればいいようです。ターミナルから削除できます。

◆60万台以上が感染しているトロイの木馬「Flashback」に感染しているか調べる方法[Macの手書き説明書]
http://veadardiary.blog29.fc2.com/blog-entry-3809.html

 


posted by 上高地 仁 at 11:35 | Comment(0) | TrackBack(0) | Apple/Macintosh/iPhone | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス: [必須入力]

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。