Macを襲うマルウェアが猛威、その特徴は「偽のアップデート」という単純な手法にあり
アップルのmacOSを狙ったマルウェアの被害が急拡大している。感染拡大の手法は実に単純で、不正なリンクをクリックさせて偽の「Adobe Flash」のアップデートを仕向けるという手法だ。使い古された手のはずが、なぜ人々は簡単にだまされてしまうのか。
TEXT BY BRIAN BARRETT
WIRED(US)
![facebook share](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="114" height="37"><rect fill-opacity="0"/></svg>)
DAVID PAUL MORRIS/BLOOMBERG/GETTY IMAGES
Macはウイルスの影響を受けにくいというよくある“誤解”は、だいぶ解けつつある。最近のアップル製品は、それなりの量のバグに悩まされているからだ。こうした状況にもかかわらず、macOSに対する最大の脅威となっているマルウェア(10台に1台のMacが感染しているという報告もある)が、比較的粗悪なものであるという事実は驚きに値する。
コンピューターセキュリティ大手のカスペルスキーが、2019年に最も多くのmacOSユーザーが遭遇した「10の脅威」の詳細をこのほど発表した。その第1位となったのはトロイの木馬「Shlayer」である。カスペルスキーが監視するMac全体の1割を攻撃し、検出された脅威全体の3分の1を占めているという。Shlayerは2018年2月に最初に発見されて以来、圧倒的な猛威をふるっている。
それほどまん延しているなら、かなり高度なマルウェアなのだろうと考えるかもしれない。それが違うのだ。カスペルスキーは「技術的観点から見ると、Shlayerはかなり平凡なマルウェアである」と分析している。
実際のところ、不正なリンクをクリックさせて偽の「Adobe Flash」のアップデートを仕向けるという、かなり使い古された手を使う。Shlayerのペイロード(悪意ある動作を実行するコード)も、ありふれたアドウェアという退屈なものだ。
その“優れた”流通の仕組み
こうしたなか、Shlayerの“優れた”点が明らかになった。それはコードそのものというより、流通の仕組みにある。
Shlayerを使う攻撃者は、Webサイトの所有者やYouTuber、Wikipediaの編集者などに対して、訪問者が悪意あるダウンロードを受け入れるように仕向けることができたら、“取り分”を提供すると報告されている。攻撃者に加担したウェブサイトのドメインは、偽のFlashのダウンロードを促すウインドウを表示したり、YouTube動画の説明文やWikipediaの脚注に短縮リンクや隠しリンクを表示したりすることで、これらをクリックさせてダウンロードを仕向けることもある。
カスペルスキーは、Shlayerを配布しているパートナーサイトを1,000以上も発見したという。同社によると、そのうちの個人ひとりはShlayerのダウンロードを仕向けるランディングページへの自動転送を設定したドメインを、700も所有している。
「流通の仕組みをつくることは、あらゆるマルウェアの拡散において必要不可欠です。その意味で、アフィリエイトネットワークが非常に効果的であることをShlayerは示しています」と、カスペルスキーの高度な脅威をリサーチする部門の責任者であるウラジーミル・クスコフは言う。
悪意あるSafari機能拡張をインストール
Shlayerそのものはシンプルなマルウェアである。これに対して、Shlayerを通してインストールされる多様なアドウェアは、少なくともそれなりに巧妙な仕掛けをいくつか組み込むことができる。Shlayer自体は流通のメカニズムにすぎないのだ。
カスペルスキーが見つけたアドウェア「Cimpli」の場合、Shlayerはまず別のプログラムになりすます。この場合は「Any Search」というプログラムのふりをする。そのバックグラウンドでCimpliは、悪意あるSafari機能拡張をインストールしようとする。
この際に偽の「インストール完了」通知ウインドウを生成し、インストールを警告するmacOSのセキュリティ通知を隠す。だまされたユーザーは、悪意ある機能拡張のインストールに許可を与えてしまうという仕組みだ。
この機能拡張がインストールされると、攻撃者はユーザーの検索クエリを傍受し、独自の広告とともに検索結果を表示できるようになる。これはかなり迷惑だ。しかし、1億人以上がmacOSを利用しており、カスペルスキーがモニタリングしているmacOSの少なくとも1割がShlayerの脅威に直面していることを考えると、毎年何百万人ものMacユーザーが問題に直面しているとみていい。
被害が止まらない「ふたつの理由」
実際にどれだけ多くのmacOSがShlayerに感染しているのかは、明らかではない。雷雨では多くの家に雨が降り注ぐが、雨漏りする家はほんのひと握りだけなのだ。しかし、Shlayerによる攻撃の試行が成功した事例がほんの一部だったとしても、その攻撃を続けるだけの価値があるだけ成功を収めているのは明らかだろう。
「アップルはOSを新しくリリースするたびに、確実に安全性を向上させています」と、カスペルスキーのクスコフは言う。「それでもほかのソフトウェアと同様に、リンクをクリックしてShlayerをダウンロードして実行するのは、ユーザー自身です。OSレヴェルでこのような攻撃を防ぐのは困難なのです」
Flash Playerの脆弱性に関する数多くの警告と、その提供が今年になって完全に終了する事実を考えれば、ユーザーをだますためにFlashを使うことは時代遅れのようにも思える。だが、実は効果的だ。
「こうした事実にもかかわらず、偽のFlash Playerがこれほど成功している理由はふたつあると思います」と、2年近く前にShlayerを初めて発見したIntegoのチーフセキュリティアナリストのジョシュア・ロングは言う。「これまでの習慣、そしてFlashの現状に対する認識不足です」
習慣というのは、ユーザーがFlashの深刻な脆弱性に慣れっこになっていることから、問題を回避するために急いで更新する習慣が身についてしまっているということだ。そしてふたつ目の現状の認識不足とは、「一般的な消費者は、いまFlashが使われているサイトがほとんどないことや、Flashのインストーラーが不要になったこと、そしてFlashが今年廃止されることを知りません」と、ロングは語る。
重要なのはFlashをインストールしないこと
これはMacユーザーが特に影響を受けやすいという意味ではない。「ユーザーをだましてShlayerをインストールさせる手法は、Mac以外のプラットフォームやOSのユーザーにもうまく機能します」と、カスペルスキーのクスコフは言う。
また、Shlayerやその他のマルウェアから身を守る方法も、同じように誰にでも当てはまる。疑わしいリンクはクリックしない。特に予期せずポップアップ表示されたウインドウはクリックしない。そして2020年はFlashをインストールしない。特に海賊版コンテンツのストリーミングサイトからは、Flashをインストールしないようにしたい。
※『WIRED』によるセキュリティの関連記事はこちら。RELATED
SHARE
![深圳という「母なる大地」で闘い続ける。 そのために、マイクはステージに置いてきた。──藤岡淳一](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="110" height="110"><rect fill-opacity="0"/></svg>)
