ロシアのウイルス対策ベンダーDr.Webによると、昨年からセキュリティアナリストによって発見されているMacを狙ったトロイの木馬が、60万台以上のApple製コンピュータに感染しているという。Appleは、ハッカーがトロイの木馬「BackDoor.Flashback.39」を拡散し始めてから約1か月後の今週になってようやくこの脆弱性を修正した。感染したMacのほとんどは米国とカナダに設置されている。
感染したコンピュータの56%以上は米国にあり、約20%はカナダ、約13%は英国にあります。他のヨーロッパ諸国、日本、オーストラリアでは感染率は1%未満であると報告されています。
「システムが感染するのは、ユーザーが侵害されたリソースから、あるいはトラフィック分散システムを介して偽サイトにリダイレクトされた後です」と、ロシアのウイルス対策ベンダーは述べています。「JavaScriptコードは、エクスプロイトを含むJavaアプレットを読み込むために使用されます。Dr.Webのウイルスアナリストは、このコードを含む多数のウェブサイトを発見しました。」
同社がリストアップした感染ウェブサイトは主に.nuドメイン(ニウエ島に割り当てられている)にあり、映画やテレビのストリーミングサービスに関連するURLからGangstasparadiseというドメインまで多岐にわたる。
脆弱性の仕組み
攻撃者は2月に脆弱性を悪用してマルウェアを拡散し始めたようですが、3月16日以降は別の脆弱性を悪用するようになりました。Appleはこの脆弱性を4月3日に修正しました。まだアップデートしていないユーザーはOSのアップデートをお勧めします(こちらからアップデートできます)。
Dr. Webによると、このエクスプロイトは感染したMacのハードドライブに実行ファイルを保存する。このファイルは、リモートサーバーから悪意のあるペイロードをダウンロードして起動するために使用される。同社はシンクホール技術を用いてボットネットのトラフィックを自社サーバーにリダイレクトし、感染ホストの数を数えた。Dr. Webのマルウェアアナリスト、イヴァン・ソロキン氏がTwitterで述べたところによると、30万台以上が米国からのもので、そのうち274台はカリフォルニア州クパチーノにあるという。
感染しているかどうかを確認する方法
Macが感染している可能性があると疑われる場合は、F-Secureがターミナルを使って確認するための手順を公開しています。同社はトロイの木馬の動作についても説明しているので、管理者パスワードの入力を求められる場面には注意してください。「実行時に、マルウェアは何も知らないユーザーに管理者パスワードの入力を促します。ユーザーが管理者パスワードを入力するかどうかに関わらず、マルウェアはシステムへの感染を試みます。ただし、パスワードの入力によって感染の仕方が変わります。」
Macの感染率をめぐる議論
情報セキュリティコンサルタントのエイドリアン・サナブリア氏は、自身のブログで、Dr. Web の調査結果に納得していないと述べている。「今のところ、Flashback の被害者数を数えた報告は見ていませんが、もしこれが正確であれば、Mac での感染率がこれほど高ければ、OS X は「ウイルスに強い」という一般的な認識が変わり、Mac 用ウイルス対策ソフトウェアの売上が急増する可能性があります。」
「しかし、これらの数字を報告している企業はウイルス対策ソフトウェアの販売会社であることを考えると、興奮しすぎる前に彼らの主張が裏付けられることを確認する必要があると思います」と彼は付け加えた。F-Secureのミッコ・ヒッポネン氏は、Dr. Webの調査結果についてTwitterで「この数字については肯定も否定もできません」とコメントした。
TwitterでDaniel IonescuとToday @ PCWorldをフォローしてください
