ウェイランド・ユタニ社のクライムキット(2011年5月2日の記事「新たな「クライムキット」がMacを標的に」参照)に関するニュースは、Macプラットフォーム全体にとってより懸念されるものですが、セキュリティソフトウェア企業Integoは、MACDefenderと呼ばれるウイルス対策プログラムを装う新たなマルウェアを発見しました。(このMACDefenderは、MacDefender.orgウェブサイトを運営し、ジオキャッシングなどのGPS関連ソフトウェアを開発しているドイツ企業とは一切関係がありません。)
MACDefenderがダウンロードされインストールされるには、かなり特殊なアクションの組み合わせが必要です。例えば、汚染されたWebサイトにアクセスし、ファイルのダウンロード後にWebブラウザでファイルを開くことを許可し、インストーラで管理者パスワードを入力するなどです。しかし、これら全てが実行される場合、MACDefenderはログイン項目に自身を追加し、メニューバーアイコンを表示し、本物のウイルス対策プログラムのように見えます。その外観については、Integoのセキュリティメモのスクリーンショットをご覧ください。
MACDefenderの目的は、ユーザーを騙してプログラムの代金を支払わせることにあるようです。そのため、ウイルス検出機能があると主張し、数分ごとにユーザーのブラウザでポルノサイトを開き、感染したと思わせようとします。支払いが完了すると、警告は消えます。もちろん、ユーザーが詐欺行為に気づけば請求を取り消せることを考えると、購入プロセスは金銭を得るためだけでなく、クレジットカード番号を盗むためにも設計されている可能性は十分にあります。
MACDefender は「スケアウェア」の一例です。スケアウェアは、ユーザーを騙してウイルスに感染していると思わせ、金銭 (およびクレジットカード番号) を脅し取ろうとする、ますます普及しつつあるマルウェアの一種です。
IntegoのVirusBarrier X5とX6は最新のマルウェア定義をインストールすればMACDefenderから保護されますが、MACDefenderは巧妙な攻撃を仕掛けてくるため、ウイルス対策ソフトウェアの使用を推奨するほどではありません(2008年3月18日の記事「Macユーザーはウイルス対策ソフトウェアを使うべきか?」参照)。怪しいウェブサイトは避けましょう。そして、もし自分がダウンロードして実行していないソフトウェアのインストーラから管理者パスワードを求められた場合は、絶対に入力しないでください。
Safariの「一般」設定にある「ダウンロード後に安全なファイルを開く」チェックボックスのチェックを外しておくのも良いでしょう。Google ChromeとFirefoxは、新しい種類のダウンロードに遭遇したときに常に許可を求めるように設定されているはずです。Chromeの「高度な設定」(Chrome > 設定 > 高度な設定 > ダウンロード)とFirefoxの「アプリケーション」設定(Zipなど、ダウンロードしたいファイルの種類を「常に確認」に設定)で、以前に許可した自動開く許可を解除できます。
