Flashbackトロイの木馬ウィルスの感染確認と予防方法

アンチウィルスベンダーのDr.WEBのサイトで50万以上のMacがFlashbackというトロイの木馬ウィルスに感染していると報告されています。Macworldの記事(What you need to know about the Flashback  trojan)によると、Macで過去最もまん延したウィルスだということです。

前述のMacworldの記事に詳しくこのウィルスのことが書かれているので簡単にまとめておきます。

Flashbackとは

2011年9月に発見されたマルウェア(悪意のあるソフトウェア)で、初期の頃はAdobeのFlashのインストーラを偽装してユーザーをだましてインストールさせようとしていたが、最近のものはJavaの脆弱性をついて勝手にインストールされてしまう。例えば、ユーザがFlashbackに感染したWebサイトを訪れた時に、感染する可能性がある。

最初に感染した後、Flashbackはソフトウェアアップデートのウィンドウを表示して、管理者パスワードを入力させようとする。Macに感染すると、FlashbackはSafariの内部に入り込んでユーザーのネットサーフィンを監視してアカウント情報(ユーザ名とパスワード)を盗み、それをインターネット上のサーバーに送信する。

他の今までのMacのマルウェアと大きく異なるのは、Webサイトを訪れるだけで感染することである。

感染するリスクのある状態

以下に感染の条件をあげていますが、普通にMacを使っていると多くの人が条件に当てはまりそうです。

1. Javaがインストールされている

OS X 10.6 Snow Leopardではデフォルトでインストールされます。OS X 10.7 Lionからデフォルトから外されました。

確認はターミナルで次のコマンドを実行します。バージョン番号が表示されたらインストールされています。

$ java -version

2. 最新版のJavaがインストールされていない

最近、Appleから脆弱性を修正した最新のJavaを含むソフトウェアアップデートが配信されました。

次のバージョンが現在の最新バージョンです。

$ java -version
java version "1.6.0_31"
Java(TM) SE Runtime Environment (build 1.6.0_31-b04-414-11M3626)
Java HotSpot(TM) 64-Bit Server VM (build 20.6-b01-414, mixed mode)

3.ブラウザでJava appletを許可している

4. セキュリティツールをMacにインストールしていない

 

感染状況

ars technica が分かりやすく感染台数で世界地図を色分けしています。(Half-million Mac infection estimate backed by new analysis)

日本は黄色になっていますね。アメリカやカナダほどではないですが、日本でもある程度の台数のMacが感染しているようです。

 

感染を確認する方法

F-Secureのサイトで感染時の対処方法が書かれており、この手順で感染しているかどうか確認することができます。

ars technicaが確認と感染時の対処方法をまとめています(How to check for—and get rid of—a Mac Flashback infection)ので、確認方法だけ引用しておきます。

ターミナルで次の3つのコマンドを実行します。

$ defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
$ defaults read /Applications/Safari.app/Contents/Info LSEnvironment
$ defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

そして、次の結果が返ってくれば感染していないので、安心してください。

The domain/default pair of (/Users/jacqui/.MacOSX/environment,
DYLD_INSERT_LIBRARIES) does not exist
The domain/default pair of (/Applications/Safari.app/Contents/Info,
LSEnvironment) does not exist
The domain/default pair of (/Applications/Firefox.app/Contents/Info,
LSEnvironment) does not exist

 

感想

Webサイトを訪れただけで感染するというのは本当に怖いです。これからは、初めて訪れるようなサイトは、まずiPadで訪問するという習慣をつけた方が良いのでしょうか。いつも訪れているサイトが突然感染してしまうこともあるので完全な予防ではありませんが、元々悪意のあるサイトからの感染は防げます。

しかし、FlashもJaveも使えないiOSの環境が実はとても貴重だったりするんですね。


関連記事