Appleは、Mac OS X 10.7 Lionおよび10.6 Snow Leopardユーザー向けにJavaライブラリのアップデートをリリースしました(2012年4月3日の記事「Java for OS X Lion 2012-001およびJava for Mac OS X 10.6 Update 7」参照)。このアップデートにより、Javaランタイムエンジンがバージョン1.6.0_31にアップデートされ、Javaバージョン1.6.0_29に存在する複数の脆弱性が修正されています。「最も深刻な脆弱性は、信頼できないJavaアプレットがJavaサンドボックス外で任意のコードを実行できる可能性がある」とのことです。ただし、これらのリリースノートには、問題の脆弱性がFlashbackマルウェアの新しい亜種によって実際に悪用されていたという記述はありません(
2012年2月27日の記事「変異するFlashbackマルウェアに注意」参照)。
[更新:2012年4月12日、AppleはLionおよびSnow Leopard向けにFlashbackを削除するアップデートをリリースしました。Lionのアップデートをインストールすると、WebページでJavaが無効になります。Javaを再度有効にしない限り、無効になります。Appleはまた、JavaをインストールしていないLionユーザー向けに、別途Flashback削除ツールも提供しています。詳細については、「Apple、Flashbackマルウェア対策アップデートをリリース」(2012年4月12日)をご覧ください。]
感染率の高さ— ロシアのアンチウイルス開発会社Doctor Webは、調査の結果、悪意のあるJavaアプレットを起動するJavaScriptコードを含む不正なウェブサイトにアクセスしたユーザーが、55万台以上のMacに感染したと発表しました。Doctor WebのSorokin Ivan氏はその後、ツイートでその推定台数を60万台以上に引き上げました。[更新:Flashbackがニュースで報じられてから1週間後、感染台数は30万台を下回りました。]
Doctor Web についてはこれまで何も見たことがありませんでしたが、TidBITS Talk で彼らが誰なのかという質問が上がり、セキュリティアナリストの Brian McNett 氏が次のように述べました。
Doctor Webについて初めて知ったのは、彼らが言及された時、そして後にSorokin Ivan氏がF-Secureのチーフ・リサーチ・オフィサーであるMikko Hypponen氏にTwitterで返信した時でした。私はMikko氏をよく知っており、信頼しています。彼は信頼できる情報源を利用しています。Doctor Webはロシアの組織で、顧客の大部分はロシア人であるため、他の地域で評判が知られていないことは珍しくありません。彼らの重要な発見は、Flashbackがコマンド&コントロールサーバーに接続する際に、感染したマシンのMACアドレスをユーザーエージェントとして使用するというものです。これは、彼らが誰よりも早く感染を追跡することを可能にした独自のパターンです。彼らがこの発見をデータと共に公表したことは、彼らの信頼性を高めています。
ミッコ・ヒッポネン氏はツイートで、F-SecureがDoctor Webと連絡を取り、感染数は本物に見えると述べた。また、Kaspersky LabsもDoctor Webの数字は妥当であり、実際にはMacであることが独自に確認された。
Macセキュリティ企業Integoによると、Flashbackに感染したMacは、ネットワーク監視ツールで検知可能なFlashbackのコマンド&コントロールサーバーとの通信以外、全く症状が現れないという。最近のFlashback亜種ではこの現象は確認されていないものの、以前のバージョンのFlashbackは、WebブラウザやSkypeなどのネットワークアプリケーションにコードを挿入することで、ユーザー名とパスワードを盗み取ろうとしていた。こうした場合、感染したプログラムは頻繁にクラッシュする傾向があった。セキュリティ企業Sophosによると、Flashbackはパスワード窃取に加え、検索エンジンの検索結果を改ざんして
広告詐欺(クリックスルー率を不正に増加させること)を実行したり、被害者をさらに悪質なコンテンツに誘導したりすることもできるという(ただし、Macが既に感染している場合は、こうした行為は不要と思われる)。
さらに懸念されるのは、Intego社が過去数週間でFlashbackの亜種を数十種類確認したと発表していることです。これは、Flashbackの開発者が、検出を回避し、新たに発見された脆弱性を悪用するために、Flashbackを迅速に改変していることを示唆しています。これにより、Flashbackの防止、検出、削除に関するあらゆるアドバイスが時代遅れになる可能性があります。ちなみに、Intego社は、Flashbackが2011年にMacDefenderを作成したのと同じ人物によって作成されたという証拠があるとも述べています(「偽の
MACDefenderアンチウイルスソフトウェアにご注意ください」(2011年5月2日)および「Apple、深刻化するMacDefenderの事態に対応」(2011年5月25日)参照)。
Flashback 感染の検出— では、感染しているかどうかはどうすればわかるのでしょうか? セキュリティ企業 F-Secure が、最新の Flashback 感染を検出するための手順を公開しました。この手順には、上級ユーザー以外には試すべきではない削除手順も含まれています。
とはいえ、検出はターミナルで以下のdefaults readコマンドを実行することで実現します(F-Secureは最初のコマンドと最後のコマンドのみを推奨していますが、他のツールはSafariだけでなくGoogle Chrome、Firefox、iCabにもこの手法を拡張しています)。いずれの場合も、各コマンドの応答の最後に「does not exist」と表示されれば、感染していません。(このdefaults readコマンド自体は完全に安全です。各アプリケーションパッケージ内のInfo.plistファイルに何らかのデータが存在するかどうかを判断しようとしているだけです。)
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Google\ Chrome.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
defaults read /Applications/iCab\ 4/iCab.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
よりシンプルなアプローチとして、Real Studio Developer誌の発行人であるMarc Zeedar氏が、defaults readチェック機能をカプセル化し、感染の有無を知らせるダイアログを表示するシンプルなTest4Flashbackアプリケーションを開発しました。このアプリケーションは、ウイルスの駆除は一切行いません。
Flashbackから身を守る— 10.7 Lionをご利用で、まだJavaをインストールしていない場合は、必要な場合を除いてインストールを控えてください。LionにJavaをインストール済み、または10.6 Snow Leopardをご利用の場合は、このFlashback亜種による感染を防ぐため、ソフトウェア・アップデートからAppleのJavaアップデートを直ちにインストールしてください。Javaのアンインストールは困難ですが、システム全体または個々のWebブラウザで無効化することができます(Flashbackは、私たちの知る限り、Webベースの攻撃に完全に依存しています)。
- MacでJavaを完全に無効にするには、Java環境設定ユーティリティを開き
/Applications/Utilities、チェックボックスをオフにしてください。CrashPlanやその他のJavaベースのソフトウェア(一部のAdobeアプリケーションを含む)を使用している場合は、この操作を行わないでください。 -
Safari で Java を無効にするには、「Safari」>「環境設定」を選択し、「セキュリティ」パネルで Java をオフにします。
-
Google Chrome で Java を無効にするには、
about:pluginsアドレス バーに入力し、下にスクロールして、NPAPI ブラウザの Java プラグイン 2 の [無効にする] リンクをクリックします。 -
Firefox で Java を無効にするには、[ツール] > [アドオン] を選択し、[プラグイン] タブをクリックして、NPAPI ブラウザの Java プラグイン 2 を無効にします。
Java をたまにしか使用する必要がある場合は、めったに使用しないブラウザで Java を有効にしたままにして、Web 会議ツールなど、Java を必要とする特定のサイトではそのブラウザを使用することを検討してください。
Intego の VirusBarrier などのウイルス対策ソフトウェアをインストールすると、ソフトウェアの基本機能による保護と、特定のウイルス対策プログラムを検出すると Flashback マルウェア自体がインストールされないため、保護が提供されます。
最後に、Flashbackの亜種の中には、Javaの脆弱性を悪用するのではなく、ユーザーを騙して管理者パスワードを入力させることでMacに侵入するものがある点に注意してください。このような手口から身を守る唯一の方法は、意図的にダウンロードした新しいソフトウェアのインストールなど、直前のアクションに直接応答しないパスワード要求には、常に警戒することです。
気をつけてね。