マイキー・キャンベル
· 2分で読めます
マルウェアに感染したMacは減少傾向にあるものの、その数はソフトウェアメーカーのシマンテックの予測をはるかに上回っていると、同社の火曜日のブログ記事で述べられている。
セキュリティ企業は、Appleとサードパーティベンダーが先週それぞれFlashbackを無効化するプログラムをリリースしたことを踏まえ、今頃は感染マシンの数は激減しているはずだと推測している。Appleは、JavaをインストールしていないMacユーザー向けに、マルウェアの休眠バージョンを潜伏させている可能性のある削除ツールも公開している。
シマンテックの「シンクホール」、つまり偽装されたコマンド&コントロール・サーバーの統計によると、4月9日以降、約46万台のマシンからFlashbackが削除されたが、同社は火曜日までにこのトロイの木馬を保有するマシンは9万9000台未満になると予想している。
シンクホールは、インターネットセキュリティや研究機関が悪意のあるプログラムの拡散を監視・分析するために利用されていますが、この標準的な手法は、小規模で知名度の低い企業に不当な疑念を抱かせることもあります。例えば、Appleは、Flashbackを発見したDr.Webのシンクホールをホストするサーバーを正規のC&Cサーバーと誤認し、シャットダウンを試みたと報じられています。しかしながら、Appleのこの行動は、急速に拡散するマルウェアに対処する際の標準的な手法とも言えます。
Flashback 削除の予測 | 出典: Symantec
残りのMacがFlashbackをまだ削除していない理由については、推測の余地がありません。この自己インストール型プログラムは簡単に識別・削除できるためです。マシンの所有者がこのプログラムの存在に気付かず、削除するためのソフトウェアアップデートをまだ実行していない可能性があります。
トロイの木馬自体は、パッチを適用したシステム上で拡散を続けています。Flashbackの構造を分析した結果、.comトップレベルドメインを超えるようにコード化されており、.in、.info、.kz、.netといったドメイン名を生成することが明らかになりました。Flashbackは毎日1つの新しい文字列を作成し、ランダムなTLDと組み合わせます。
ユーザーが Flashback を搭載したサイトにアクセスすると、プログラムは許可を必要とせずにインストールされ、ユーザー ID、パスワード、Web 閲覧履歴などの機密データを収集して、オフサイトのリポジトリに送信します。
Flashback が「Oracle Java SE リモート Java ランタイム環境のサービス拒否脆弱性」を悪用してボットネットを作成したのと同様に、同じセキュリティホールを配布手段として利用する別の脅威が出現しました。
Backdoor.OSX.SabPub.aと呼ばれるこの新たに発見されたマルウェアは3月に作成され、「アクティブアタック」型のトロイの木馬と考えられています。これは、感染したマシンから手動でデータを確認し、収集するものです。SabPubは、悪意のあるWord文書に埋め込まれ、既知のレコード解析バッファオーバーフローの脆弱性を悪用して自身をインストールすることも確認されています。
