二〇一二年 卯月 十二日 木曜日
■ Mac にもマルウェア大量感染 [/mac]
この記事は書かれてから1年以上経過しています。内容が古くなっている可能性があります。コメントの受付は終了しました。
すでにニュースとなっているので知っている人が多いかもしれないが、Mac OS X を標的にしたマルウェア、通称 Flashback が、世界で数十万台の Mac に感染したとされる。
このマルウェアは2011年9月から存在が確認されていたが、これまでは感染のためにユーザーのインストール操作を必要としていたため、Adobe Flash Player のインストーラーになりすましていたものの、感染がそれほど広がらなかった。
そもそも Mac OS X では、システムに変更を加えるようなソフトウェアをインストールする際には管理者のパスワードを入力しなければならないことになっており、そのためにこれまでマルウェアの感染が少なかった。
しかし、Flashback の新しい変種は、Java の脆弱性を利用することにより、悪意を持って作られたウェブページをブラウザで表示するだけで感染することができる。この Java の脆弱性は2月に修正されたのだが、Apple は4月になるまで、Mac OS X にこの修正を適用してこなかった。そのために Flashback の感染が広がった。
ロシアのセキュリティ会社 Dr.Web によると、日本での感染数は世界の0.1%ということだったが、Symantec によると、日本は1.9%でトップ10に入っている。
自分の Mac が Flashback に感染していないかどうかを調べるにはどうすればよいか。すでに検出ツールがいくつか公開されているが、検出だけなら、ツールを使わず比較的簡単にできる。
まず、Finder で「アプリケーション」フォルダを開く。アプリケーションフォルダがどこにあるかわからない人は、Finder のメニューバーで「移動」「アプリケーション」と選択すればよい。
「アプリケーション」フォルダの中に「ユーティリティ」フォルダがあるので、それを開く。その中に「ターミナル」というアプリケーションがあるので、それをダブルクリックすると、なにやら文字が書かれた画面が表示される。
その状態で、以下のコマンドをコピーアンドペーストして、リターンキーを押す。このコマンドは、Safari の設定ファイルを読むだけなので、何か影響が起きる心配はない。
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
Safari が感染していなければ、ターミナルに、次のように表示される。
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
Safari 以外のウェブブラウザを使用している場合は、それぞれのブラウザについて、同じように設定ファイルを読む必要がある。「Safari」の部分をアプリケーション名に置き換えればよい。「Google Chrome」のように、アプリケーション名に空白文字が含まれる場合は、パスを引用符で囲む。例えば、次のようになる。
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
defaults read "/Applications/Google Chrome.app/Contents/Info" LSEnvironment
いずれも、「〜, LSEnvironment) does not exist」というメッセージが表示されれば、感染していない。アプリケーションの名前を間違えて入力しても「〜does not exist」と出るので、スペルミスに気をつけること。
次に、システム自体が感染していないかどうかを見るため、以下のコマンドを同様にコピーアンドペーストしてリターンキーを押す。
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
これも、「〜does not exist」と出れば、感染していない。確認できたら、ターミナルを終了する。
では、感染していたらどうするか。F-Secure が対処法を説明しているが、かなりの技術力がないと駆除はできない。今のところ実害はなさそうだし、Apple が駆除ツールを作っているそうなので、それを待つのがよいと思う。
今後の感染を防ぐにはどうすればよいか。Mac OS X 10.6 以上を使っている人なら、ソフトウェア・アップデートを行うことで、Java の脆弱性が修正される。10.5 以下を使っている人は、ブラウザの設定で Java を無効にするとよい。
2012年4月13日追記 Apple は早速、Flashback の駆除ツールを配布しはじめた。Mac OS X 10.6 以降であれば、ソフトウェア・アップデートを実行するだけで、Flashback の駆除ツールを含む Java アップデートがインストールされる。
カテゴリ
[/language] (98)
[/links] (254)
[/mac] (114)
[/music] (36)
[/origami] (406)
[/this_blog/ajax] (7)
[/this_blog/blosxom] (4)
[/this_blog/history] (12)
[/this_blog/perl] (9)
最新記事
◇ パスワードについてのあなたの常識はもはや非常識かもしれない・その1 [/links]
◇ ニューラルネットワークとディープラーニングで翻訳はどうなる・その5 [/language]
◇ ニューラルネットワークとディープラーニングで翻訳はどうなる・その4 [/language]
◇ HTTPS 対応 [/links]
◇ ひらがな・カタカナ学習ウェブアプリ [/links]
◇ 日本語の「た」と英語の過去形 [/language]
◇ ORI-REVO で回転楕円体を折る・その2 [/origami]
◇ ORI-REVO で回転楕円体を折る・その1 [/origami]
◇ 折り紙建築 [/origami]
◇ 折鶴に松図小柄 [/origami]
◇ 改訂版・たぶん、ほとんどの人は viewport meta タグの指定をまちがえてる・その6 [/links]
◇ 改訂版・たぶん、ほとんどの人は viewport meta タグの指定をまちがえてる・その5 [/links]
◇ 改訂版・たぶん、ほとんどの人は viewport meta タグの指定をまちがえてる・その4 [/links]
◇ 改訂版・たぶん、ほとんどの人は viewport meta タグの指定をまちがえてる・その3 [/links]
◇ 改訂版・たぶん、ほとんどの人は viewport meta タグの指定をまちがえてる・その2 [/links]