Windows OSに対するMac OSの優位性として長らく強調されてきたことは、「Mac OSを狙った不正プログラムは、その数が圧倒的に少ない」という点でした。そして、こうした優位性のため、「セキュリティソフトを必ずしもインストールする必要がない」という点が、ユーザがMacを好んで選ぶ際の大きな理由ともなっていました。ただ、残念ながら、こうした状況ももはや過去のものとなってきているようです。

Mac OS Xを標的にした不正プログラムは、すでに数年前からその存在が確認されていますが、いわゆる「格好の標的」としてサイバー犯罪者たちが注目し始めたのはごく最近のことだといえます。実際、最近その存在が確認された「FAKEAV」および「Flashback」による要注意事例が、その好例としてあげられます。何度かその発生が確認されたこれらの要注意事例の中でも、特に最新事例では、米国やカナダを中心として数千台ものMacコンピュータが感染被害に及んだと報じられています。このニュースは、「Macコンピュータは不正プログラムに感染する危険性はない」という「安全神話」を脆くも打ち崩したといえるでしょう。

本稿では、これら「FAKEAV」および「Flashback」の事例と共に、過去数年にわたりMacユーザを標的にしてきたその他の事例について説明します。

どのような要注意事例がMacユーザを標的にしていますか?

  •  FAKEAV
2011年、SEOポイズニングの手口を利用してMacユーザを狙うFAKEAVの脅威が確認されました。この脅威では、Googleの画像検索にもSEOポイズニングの手口が施されており、画像検索結果ページの上位に表示された不正リンクをユーザがクリックすると、偽セキュリティソフト関連のWebページや、「BlackHole Exploit」という脆弱性利用ツールが含まれたサイトに誘導される仕掛けになっていました。そしてこの脅威で特に注目すべきは、「誘導先の偽装ページの見た目や雰囲気がMac OS Xそっくりに作成されていた」という点です。

本稿執筆の時点でも、これらのFAKEAV関連攻撃では、何も知らないユーザへ感染被害を及ぼすため、以下のような(Mac関連製品を彷彿させる)名称による偽セキュリティソフトの使用を確認しています。

  • MacSecurity
  • MacProtector
  • MACDefender
  • MacSweeper
  • iMunizator
  • Mac Shield
  • MacGuard

トレンドマイクロ製品では、これらのFAKEAV関連の不正プログラムをいずれも「OSX_FAKEAV.A」として検出しています。

OSX_FAKEAV.A」は、どのようにしてコンピュータに侵入しますか?

通常、MacユーザがGoogle画像検索を利用した際、(トレンドマイクロ製品で「OSX_FAKEAV.A」として検出される)これらのFAKEAV関連の不正プログラムを気づかずにダウンロードしてしまいます。この攻撃実行に際して、サイバー犯罪者は、特定のキーワードを利用して、Google検索の検索結果ページやGoogle画像検索の結果ページ(この場合はキーワードでホットリンクされた画像)の上位にハイジャックされた複数の不正リンクが表示されるような仕掛けを施します。ユーザがこれらの不正リンクをクリックすると、偽セキュリティソフト関連のWebページに誘導されることになります。なお、最近では、Facebookに投稿されたリンクを介して拡散される事例も確認されており、トレンドマイクロでは、このFAKEAVを「OSX_DEFMA.B」として検出しています。

OSX_FAKEAV.A」は、インストールされると、感染に関する偽の警告を表示してユーザを不安にさせます。また、Windowsのコンピュータに感染するスケアウェアの手口と同じく、偽のスキャン結果なども表示してユーザを不安にさせた上で、偽セキュリティソフト完全版を購入する必要があるようにユーザに思い込ませます。

  •  Flashback
Flashbackは、トロイの木馬型不正プログラムのファミリとして知られていましたが、最近では、バックドア型不正プログラムのファミリに分類される亜種も確認されています。201110月にAdobe Flash Playerインストーラを装った不正プログラムとして確認されたのが最初であり、その後、Javaの脆弱性を標的にして不正Javaファイルに作成される複数の亜種が第二弾として登場しました。Flashbackの典型的な手法は、脆弱性利用によってWebブラウザのコンテンツを改ざんすることであり、脆弱性「CVE-2012-0507」を利用する「OSX_FLASHBCK.AB」がその一例としてあげられます。

OSX_FLASHBCK.AB」は、どのような不正活動を行いますか?

OSX_FLASHBCK.AB」は、他の不正プログラムに作成され、特定の脆弱性「CVE-2012-0507」を利用します。この脆弱性は、20112月の時点で既にWindows環境のコンピュータ向けには修正パッチが公開されており、現在は、AppleからもMacユーザ向けに修正パッチがリリースされています。

また、「TrendLabs(トレンドラボ)」の解析では、この「OSX_FLASHBCK.AB」は、バックドア型の不正プログラムであり、「Domain Generation Algorithm (DGA)」という機能を備えていることも把握しています。この機能を使用すれば、不正リモートサーバに接続する際、接続先のドメイン名を一定時間にランダムに生成させることができ、これによりセキュリティソフト等にブロックされるのを避けます。実際、この不正プログラムは、現時点において5つの異なったドメインに接続することを確認しています。

こうした一連の動作は、感染したコンピュータおよびそのコンピュータ内のデータに大きなリスクを及ぼします。まず、この接続を駆使して不正リモートユーザへ感染事実を報告した上で、特定のサーバとの交信も可能にし、他の不正プログラムのダウンロードや、収集した情報の送信といった不正活動にも利用されるからです。

現在、Flashbackの亜種として確認されている不正プログラムは、以下のとおりとなります。ユーザはこれらの不正プログラムにも十分注意しておく必要があります。

  • OSX_FLASHBCK.A MacAdobe Flash Playerのインストーラ装ったトロイの木馬型不正プログラム
  • OSX_FLASHBCK.DL」:Javaの脆弱性を利用する不正プログラム
  • OSX_FLASHBCK.IC」:Webブラウザに組み込まれて情報収集活動を行う不正プログラム

他にどのようなMac関連の不正プログラムが存在しますか?

以前から確認されていたMac関連の不正プログラムは、そのほとんどがフリーウェアに偽装していました。その他、不正なWebサイトからダウンロードされてくるMac関連の不正プログラムも存在したようです。以下は、これまでに確認したMac関連の不正プログラムの一覧となります。

  • OSX_KROWI.A: 海賊版の「iWork '09」のコンポーネントに偽装
  • OSX_JAHLAV.D および「OSX_JAHLAV.C: MacCinemaインストーラ」に偽装
  • OSX_HELLRTS.A: 偽「iPhotoインストーラ」に偽装して侵入。バックドア機能も備える
  • OSX_RSPLUG.B: MacCinema」インストール時のGraphical User Interface (GUI)を表示
  • OSX_OPINIONSPY.A: スクリーンセーバに組み込まれており、インスタントメッセンジャ(IM)での会話の収集およびリアルタイム・メッセージング・プロトコル(RTMP)のデータパケットの監視
  • OSX_JAHLAV.K: "Cron JobWindowsでは「スケジュールされたタスク」に相当)" を作成し、この不正プログラムを定期的に実行
  • OSX_LEAP.A: iChat」を介して拡散
  • OSX_INQTANA.A: Bluetoothを介して拡散
  • OSX_LOSEGAM.A: ゲーム関連のアプリケーションと共にコンピュータに侵入

Mac OS Xのみを狙う攻撃だけでなく、複数のプラットフォームを同時に狙う攻撃も、ユーザにとってリスクとなってきています。こうした攻撃は、さらに様々なソーシャルエンジニアリングの手口を駆使してユーザの心理を突き、ユーザは、どのOSを使用しているかに関わらず、個人情報の収集などの被害に見舞われることになります。また、こうした攻撃では、ソーシャル・ネットワーキング・サービス(SNS)のサイト上でのスパムメール送信やフィッシング攻撃などの手法も利用されます。

実際、トレンドラボでも、Mac OSのみに限定されず、それ以外の要素も一緒に利用する脅威も、以下のとおり確認しています。

  • OSX_KONTROL.EVL」・「OSX_KONTROL.HVN」:双方とも「TROJ_MDROPR.LB」により作成されるファイルであり、特定のEメールに添付された文書ファイルとしてコンピュータに侵入します。
  • OSX_OLYX.EVL」:このバックドア型不正プログラムは、「JAVA_RHINO.AE」が脆弱性「CVE-2011-3544」を利用することで作成されます。インストールされると、この「OSX_OLYX.EVL」は、自身のコマンド&コントロール(C&C)サーバに接続して特定情報を送信します。

Macコンピュータは安全だ」という主張とは裏腹に、実際、Mac関連の不正プログラムは、1980年代に初登場して以来、以下のように様々なセキュリティ上の脅威をもたらしてきています。

Macユーザを狙った攻撃が要注意(Noteworhty)とされる理由は何でしょうか?

Macユーザを狙った一連の攻撃の発生は、「Mac OS X市場の拡大をサイバー犯罪者たちもしっかりと認識している」という事実を示しています。今後も、「iPod」、「iPad」や「iPhone」といったApple製品の人気が高まる中、攻撃の頻度や範囲はますます大きくなり、サイバー犯罪者たちの金銭目的も達成され続けることでしょう。ただ、そうした攻撃の中でも、やはりソーシャルエンジニアリングの手口が、Macユーザに対しても有効な手法としてサイバー犯罪者たちに利用され続けることになります。

Flashbackの脅威も、その膨大な感染数から大きな話題となりましたが、実際、報道によると、全世界で65万台Macコンピュータがいまだ感染状態に置かれているといいます。この脅威における感染数や、その他のMac関連の脅威の感染数などが示す数値そのものが、まさしく「Macコンピュータは感染被害からもすぐ回復できる」などという「安全神話」をも見事に打ち砕いているといえます。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection NetworkSPN」のデータによると、「OSX_FLASHBCK.AB」に関して最も大きな影響を受けているのは、米国のユーザであることが分かります。下記の表は、SPNフィードバックのトータル数を国別に示したグラフです。

最近のMac関連の攻撃は、ユーザにとってどのような意味合いを持つと言えるでしょうか?

まず認識すべきは、Macコンピュータも、Windows OSのコンピュータと同様、サイバー犯罪の脅威を受けやすく、決して「無敵」ではないという点です。当初、不正プログラム感染とは無関係と思われていたMacコンピュータも、実際は、「サイバー犯罪者たちの注意がもっぱらWindows OSに向けられていたからに過ぎない」ということが理由だったようです。かつてMacユーザの規模は、それほど大きくなかったため、「できるだけ多くのユーザから金銭を得たい」というサイバー犯罪者たちの関心を引くことはなっただけでした。しかし今日、ユーザ間でのMac人気急上昇は、サイバー犯罪者たちのそうした見方を大きく変えることになってきています。

また、いわゆる「Macコンピュータを所有するユーザの傾向」も、サイバー犯罪者たちにとってMacユーザが格好のターゲットになっている理由として認識しておくべきでしょう。一般的にMacコンピュータは、その価格がWindowsコンピュータよりも高額であり、この事実がMacユーザの所得水準をも示唆しているといえるからです。実際、Macユーザの所得水準はWindowsユーザよりも高いという調査結果も出ているようです。

そして、インターネット上の様々な活動においてMacコンピュータが広く活用されるようになる中、オンラインバンキングを利用する手口を駆使する不正プログラム等、その他のサイバー犯罪の脅威の対象も、Macコンピュータへとシフトしてくることが予想されます。

トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」を実装した「Trend Micro Security for Mac」や「ウイルスバスター for Mac」は、Mac関連の全ての不正プログラムやコンポーネントの脅威からMacユーザを守ります。また、「Webレピュテーション」技術により、不正プログラムがダウンロードされてくるような不正なサイトへのアクセスを未然にブロックします。そしてこうしたソリューションと共に、ご自身のコンピュータを常に最新化しておくことも強くお薦めします。

Macユーザは、今回のような脅威からコンピュータを守るためにどのような対策が必要でしょうか?

Windowsコンピュータのユーザも、これまでも話題となった各種脅威からコンピュータを守るため様々な注意事項を実践していますが、その多くは、もちろんMacユーザにとっても有効です。そのいつかは以下のとおりとなります。

  • スパムメール内の不審なリンクは絶対にクリックしないこと。
  • 不正な添付ファイルは、開かずに直ちにメールごと削除すること(特に信頼のおけない送信元からのメールの場合)。
  • 疑わしいWebサイトなどを不用意に閲覧しないこと。
  • ソーシャルネットワーキングサイト関連のメッセージ等を装ったソーシャルエンジニアリングの手口には十分注意すること。
  • ご使用のセキュリティソフトは常に最新化しておき、不正プログラム感染につながるような不正サイトは確実にブロックされるようにしておくこと。

また、新たなセキュリティソフトを購入する際にも、細心の注意が必要です。上述のとおり、Macユーザを狙ったFAKEAVは、本物そっくりとユーザが見間違ってしまうほどの非常に巧妙な偽セキュリティソフトを利用します。購入予定のセキュリティソフトに関して、少しでも疑問が生じた場合は、たとえば、以下のような「偽セキュリティソフトを見極める方法」を活用すれば、それが本物であるか偽物(FAKEAVの手口)であるかの判断に際して役立つでしょう。

  • ユーザが気づかない内にインストールされ、スキャンが実行されるようなセキュリティソフトは、偽物と考えてよいでしょう。
  • 最近のセキュリティソフトは、できるだけユーザに手間を取らせない仕様になっているはずであり、ユーザを不安にさせるような機能・メッセージがある場合も、偽物といえます。
  • 「有償版を購入しないと完全には駆除されない」と称して支払いを促すようなセキュリティソフトも、偽物でしょう。通常は、「30日無料体験版」などが提供されているはずです。
  • 疑わしい場合は、「製品名」でGoogle検索してみること。偽物の場合、製品関連のWebサイトではなく、感染事例の記事等を確認することになるでしょう。
  • 無償の不正プログラム検出ツール「Trend Micro HouseCall」による確認も有効です。

そして何よりも大事な点は、セキュリティ対策に関するいかなる機器や装置を使用しているとしても、決して注意を怠らないということです。サイバー犯罪者たちは、注意を怠って油断したユーザの隙につけ込んで無防備にしてしまう術こそを日々探し求めているからです。もとより彼らにそのような機会を与えないことこそが、ユーザにとっての「最善策」となります。

トレンドマイクロの専門家からのコメント:

サイバー犯罪者たちによる金銭目的の不正活動において、「FAKEAV」は、最も頻繁に利用され続けている不正プログラムだといえます。そして今回、Macユーザも格好のターゲットになり得ることを証明したわけです。今後、これまでWindowsのユーザに対して用いられていた様々な手口が、Macユーザにも利用されることが予測されます。

-シニア・スレッド・リサーチャー Nart Villeneuve

長い間、「Macユーザはサイバー犯罪者による攻撃からは比較的安全である」と認識されてきました。しかし今回の「FAKEAV」による攻撃は、ソーシャルエンジニアリングの手口が駆使される中、「もはや安全なOSはない」ということを証明してしまいました。「Mac OS X こそ、格好のターゲットである」という印象さえ受けます。今後、銀行の口座情報を狙うトロイの木馬型不正プログラムやボットネット型不正プログラムなどが、Macユーザをターゲットに現れても何ら驚くべきことではないでしょう。

-スレッド・レスポンス・エンジニアErika Mendoza