10年以上前にOS Xがリリースされて以来、主流のテクノロジーメディアは「もうすぐ」Macintoshを狙ったウイルスが大量に出現すると主張してきました。Windowsを狙ったウイルスが無数に存在するという事実と合わせると、Macユーザーがマルウェアの可能性を多少なりとも恐れるのも無理はありません。
Macを狙うウイルスはまだ大量には出現していませんが、こうした不安につけ込む悪質なウイルスが存在します。ウイルスでもトロイの木馬でも、その他のマルウェアでもありません。むしろフィッシング詐欺に近いもので、ソーシャルエンジニアリングを駆使して、悪意のある行動を取らせようとします。ユーザーを恐怖に陥れることで、その威力は恐ろしく高まっています。「スケアウェア」や「ランサムウェア」と呼ばれることもあります。
ウェブサイトにアクセスすると、ブラウザが悪意を持ってフリーズしたように表示されます。ページを終了できず、「戻る」ボタンをクリックしてもページを移動できません。
次に、ページまたはポップアップが表示され、Mac に問題がある、Mac に違法なコンテンツが含まれている、データが悪意のある組織によって暗号化されているなどのさまざまな情報 (多くの場合、ユーザーの所在地に合わせてカスタマイズされます) が伝えられます。
これらのポップアップの多くは電話番号を提示しており、「テクニカルサポート」や「FBI」などと謳っています。その電話番号に電話をかけると、相手はリモートコントロールソフトウェアを使ってあなたのコンピュータに接続する許可を求めてきます。接続中に、スパイウェアがコンピュータにインストールされる可能性があります。
あるいは、ポップアップには、ブラウザをフリーズさせた張本人に身代金を送る方法の指示と、身代金を受け取ったらブラウザのフリーズを解除したりデータを復号したりするという約束が表示される場合もあります。(Windowsを狙ったマルウェアの中には、CryptoLockerやCryptoWallなど、実際にユーザーデータを暗号化し、ユーザーがビットコインで身代金を支払った後にのみ復号するものもありますが、Macを標的としたものではありません。)
まず最初に、このような恐ろしい状況に遭遇した場合、Macがウイルスやその他のマルウェアに感染しているわけではなく、データが被害に遭っているわけでもないことを知っておくことが重要です。指定された電話番号に電話をかけてはいけません。特に、指定された電話番号の相手にMacへのリモートコントロールアクセスを絶対に許可してはいけません。また、要求された身代金を支払ってはいけません。この状況は自分で簡単に対処できます。もし悪意のある人物に
Macへのリモートコントロールアクセスを許可してしまうと、スパイウェアに感染させたり、貴重なデータを盗んだりといった悪質な行為をされる可能性があります。
これらの恐ろしい警告がマルウェアによるものではないとしたら、一体何なのでしょうか?実際には、あるウェブサイト(おそらくハッキングされた、あるいは侵入された広告ネットワークの広告を表示している、全く無害なウェブサイト)が、ちょっとしたJavaScriptに感染しているのです。このJavaScriptは、ブラウザを終了したり「戻る」ボタンを使用できなくさせ、表示されているページやダイアログを表示します。これはポップアップ広告とそれほど変わりはなく、それ自体は実際に害を及ぼすものではありません。これは単なるフィッシング詐欺で、悪意のある人物がソーシャルエンジニアリング(ユーザーを怖がらせること)を使って、愚かな行動(特定の電話番号に電話をかけさせて騙したり、金銭を送金させたりすること
)を取らせようとしているのです。そのため、「スケアウェア」や「ランサムウェア」という名前が付けられています。私は今後、これらを全てスケアウェアと呼ぶことにします。
幸いなことに、このスケアウェアのJavaScriptの罠から逃れるのは簡単です。最も簡単な方法は、Webブラウザを強制終了することです。これには主に2つの方法があります。
- Apple メニューから「強制終了」を選択するか、ショートカットの Command-Option-Escape キーを押します。
- Dock 内の Web ブラウザのアイコンを Control キーと Option キーを押しながらクリックし、「強制終了」を選択します。
残念ながら、スケアウェアJavaScriptによってCommand+Option+Escapeキーの使用が妨げられることが多く、ブラウザ内ではAppleメニューにアクセスできない場合があります。2つ目の方法を使用するか、他のアプリに切り替えてください。その後、Appleメニューから「強制終了」を選択し、「アプリケーションの強制終了」ダイアログでブラウザを選択して、「強制終了」ボタンをクリックします。
まだ終わりではありません。多くのブラウザでは、次回起動時に前回表示していたウェブページを再読み込みするように設定できます。そのため、最初のページに戻ってしまう可能性があります。Safari でこれを防ぐには、Dock の Safari アイコンをクリックする前、またはアプリケーションフォルダの Safari アイコンをダブルクリックする前に、Shift キーを押します。Firefox では、Option キーを押したままセーフモードで起動し、Firefox のセーフモードダイアログで「Firefox をリフレッシュ」をクリックします。Chrome では、強制終了する前に、アドレス
フィールドの右側にあるハンバーガーボタンをクリックし、「設定」を選択して、「設定」ページの「起動時」セクションで「新しいタブページを開く」を選択します。(または、もっと凝ったことをしたい場合は、Chrome をシークレットモードで開くためのこの AppleScript のトリックを試してみてください。)
ここまで読んで、スケアウェアを事前に回避する方法があるのではないかと疑問に思われているかもしれません。理論的にはJavaScriptを無効にすることもできますが、最近のウェブサイトのほとんどはJavaScriptに依存しているため、これは許容できる解決策ではありません。スケアウェアはマルウェアでも広告でもないため、アンチウイルスソフトウェアや広告ブロックツールは役に立ちません。しかし、Safariでスケアウェアをブロックできる拡張機能があります。無料のScamZapperです。
ScamZapperはスケアウェアのインスタンスを自動的に識別し、読み込みをブロックします。データベースに存在しない特定の例に遭遇した場合、ScamZapperには「ポップアップのトラブルシューティング」という機能があり、一連の自動トラブルシューティング手順を案内します。
より一般的に言えば、スケアウェア問題の真の解決策は、Webブラウザメーカーから提供されるべきです。幸いなことに、彼らはその取り組みに取り組んでいます。Safariの最近のアップデートでは、無視できないJavaScriptアラートを防止するようになっているはずです(2015年6月30日の記事「Safari 8.0.7、7.1.7、および6.2.7」参照)。さらに、Googleはセーフブラウジング技術を開発しました。これは、スケアウェアJavaScriptに感染していることが知られているWebサイト、フィッシングサイト、その他の悪質なコンテンツをホストするサイトにアクセスしようとした際に警告を表示するものです。セーフブラウジングは当然ながらGoogle Chromeに搭載されていますが、AppleとMozillaが
SafariとFirefoxに組み込んだパブリックAPIでもあります。
Googleは警告リストを常に更新しています。当然のことながら、Googleはマルウェアに感染している可能性のあるサイトをインデックスで継続的にスキャンし、統計的手法を用いてフィッシングサイトの可能性を特定しています。また、スケアウェアサイトを手動で報告することも可能です。Googleによると、報告されたサイトは確認され、必要に応じて30分以内にリストに追加されます。
こうした手動報告が重要です。ユーザーがスケアウェアを含むサイトをこまめに報告すれば、特定のサイトが無力化されるまでにそれほど時間はかからないでしょう。ですから、スケアウェアを含むウェブサイトに遭遇した場合は、ぜひご報告ください!
Googleに報告する際は、感染したウェブサイトのウェブアドレスは、ブラウザがフリーズしたように見えるときに表示されるアドレスではないことにご注意ください。これは偽装されたアドレスです。スケアウェアに遭遇する直前にアクセスしようとしていたウェブサイトのウェブアドレスです。
これで、皆さんがスケアウェアに怖がらないための十分な知識を身につけ、悪者が不正に利益を得るのを防ぎ、皆さんがアクセスした同じサイトに他の人が遭遇するのを防ぐことができるようになることを願っています。
[ランディ・B・シンガーは30年近くMacintoshに関する記事を執筆しています。彼は複数のウェブサイトを運営しており、現在最も人気のあるのは「Mac OS X Routine Maintenance」です。]