Mac用のセキュリティ対策ソフトなどを開発販売する米Integoは2007年10月30日(米国時間)、Mac OS Xで動作する新しいウイルス(トロイの木馬、悪質なプログラム)を確認したとして注意を呼びかけた。動画の再生に必要なプログラム(コーデック)に見せかけて、インストールさせようとする。
Integoが「OSX.RSPlug.A」と名付けた今回のウイルスは、いくつかのアダルトサイトに置かれている。それらのサイトには、今回のウイルスをインストールさせるようなWebページが攻撃者によって設置されている。
そして、同ページにユーザーを誘導するために、「このWebページにアクセスすれば、アダルト動画を無料で見ることができる」といったコメントが、Macユーザー向けのフォーラムなどに多数投稿されているという。
そのページにユーザーがアクセスすると、動画プレーヤーのような画面とアダルト画像が表示。アダルト動画が再生されると思ってこの画像をクリックすると、「Quicktime Player is unable to play movie file.Please click here to download new version of codec.(QuickTimeプレーヤーは、この動画を再生できませんでした。ここをクリックして新しいコーデックをダウンロードしてください)」と表示され、「ultracodec1237.dmg」というディスクイメージファイルがダウンロードされそうになる(図1)。
このファイルがウイルスの実体。ダウンロードしてインストールすると感染。Mac OS XのDNS設定を、攻撃者のDNSサーバーを参照するように変更する。これにより、ユーザーがWebブラウザーなどに正規のアドレス(URL)を入力しても、悪質なWebサイト(フィッシング詐欺サイトなど)に誘導される恐れがあるという。
なお、ウイルスをインストールしても、同ページの動画を再生できるようにはならない。インストールした後に同ページにアクセスしても、ウイルスのインストールを再度促されるだけだという。
ウイルスをコーデックに見せかけてインストールさせようとする手口は多数確認されているが、そのほとんどはWindowsユーザーを狙ったもの。Macユーザーを狙ったものはめずらしい。
また、Mac上で動作するウイルスは過去にも出現しているが、それらの多くは実験目的。それに比べて今回のケースは、「プロのウイルス作成グループによる、Macユーザーを狙った、最初の“本当の攻撃”だ(this is the first targeted, real attack on Mac users by a professional malware group.)」と、セキュリティベンダーの米サンベルトソフトウエアではコメントしている。
日経パソコン編集部で調べたところ、今回のウイルスが置かれているWebページは現在(11月1日午前11時時点)も稼働しているようなので注意。同ページでは、アクセスしたパソコンのOSを見て、表示するコンテンツを変えている模様。Windowsパソコンでアクセスした場合でも、YouTubeのプレーヤーのような画面を表示して、偽のコーデックをダウンロードするように要求する(図2)。
ダウンロードさせようとするファイルは、Windows上で動作する「ultracodec1000.exe」というファイル名のウイルス。今回のWebページが狙うのはMacユーザーだけではない。一部のベンダーでは、ウイルスをダウンロードさせるWebページのURLを公表しているが、くれぐれもアクセスしないように。