最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆ミサワ「unicoオンラインショップ」、不正アクセス受けカード情報など流出(2011/05/30) | メイン | ◆偽ブランド品のネトオク販売で摘発相次ぐ~オメガ、シャネル、バーバリー等(2011/06/01) »

2011/05/30

◆偽セキュリティソフトが猛威、進化するMac版に内外で被害続出(2011/05/30)

 検索サイトを悪用した偽セキュリティソフトのキャンペーンにMac版が投入され、進化を続けながら被害を拡大しているようだ。25日には、アップルも感染防止と駆除方法を解説した技術文書を公開した。近日中に、自動検出や駆除に対応するMac OS Xソフトウェアアップデートを提供する予定だという。

 さまざまな手法を使って展開する偽セキュリティソフトのキャンペーンだが、先月から大々的に始まったのが、検索サイトの検索結果から誘導する手口だ。当初はこれまで同様、Windowsユーザーをターゲットにしたものだったが、途中からMac版も投入。「Mac Defender」「Mac Security」「Mac Protector」「Mac Guard」と、次々に名前を変えながら進化を続けている。

 Windows版では、脆弱性を突いてユーザーが知らないうちに勝手にインストールされてしまう、ドライブバイダウンロード攻撃も仕掛けてるが、Mac版の場合は、ユーザー自身にインストールさせる手法のみが用いられている。自分でインストールを実行しない限り実害は生じないのだが、進化を続ける偽セキュリティソフトにコロリとだまされ、自爆してしまうようだ。

■進化した偽ウイルススキャン

 検索サイトの検索結果には、攻撃者が一般サイトに仕掛けた罠が潜んでいる。これをクリックしてしまうと、Windows/Macそれぞれの環境に合わせた、偽セキュリティソフトのキャンペーンサイトへと連れて行かれる。Macユーザーの場合には、ブラウザ内でいきなり偽のウイルススキャンが始まることになる。

<Before>
 第一世代の「Mac Defender」登場直後には、このキャンペーンサイトにWindows用のものをそのまま流用していたため、ブラウザ上にはExplorer風の画面が突然出現し、ウイルススキャンのふりを始める。偽のウイルススキャンが次々に見つけ出して行くウイルスは、名前に「W32」が付いたWindowsのウイルスばかり。スキャンのふりが終わると、ウイルス感染を警告する「Windows Security Alert」が現れ駆除を促すという仕様だった。
 その後はブラウザ内のどこに触れても、Mac版の偽セキュリティソフトのパッケージがダウンロードされる。このパッケージは、ブラウザのSafariが安全なファイルと認識しているZIPファイル。Safariの初期設定では、「ダウンロード後、“安全な”ファイルを開く」が有効になっているため、ZIPファイルが自動的に展開され、中のインストーラが起動してしまう。

<After>
 冗談のような偽のウイルススキャンは、その後MacのFinder風の画面に変わり、見つけ出すウイルスも「OSX」や「MacOS」の付いたMac仕様に変更。警告は「Apple Security Center」が出すように改められ、真実味がぐっと増した。さらに、サイズの大きな偽セキュリティソフト本体をダウンロードするのではなく、コンパクトなセットアッププログラムのパッケージを勝手にダウンロードし、インストーラを起動。インストール時に必要だった管理者パスワードの入力も不要になった。

■偽セキュリティソフトの目的と自衛策

 偽のウイルススキャンに騙され、インストールを進めてしまうと、有料版の押し売りが始まる。インストールされた偽セキュリティソフトは、偽のウイルススキャンを行い、ウイルスを検出したふりをして、駆除のために有料版のライセンスを購入するようにと迫る。無視しようものなら、数分ごとにポルノサイトなどを開き、ユーザーを悩ます。一連のキャンペーの目的は、こうしてライセンス購入を迫り、クレジットカードで決済させることだ。
 この種のユーザー自身に実行させるタイプのウイルスは、「ダウンロードしない」「実行しない」が感染予防の基本だ。

 ブラウザがウイルススキャンを始めたり、ウイルス感染の警告を出したら、ブラウザの画面には触れずに、ブラウザそのものを終了させる。Safariの設定で、「ダウンロード後、“安全な”ファイルを開く」を無効にしておけば、勝手にインストーラーが起動する事態を防ぐことができる。インストーラーが起動してしまった場合には、それ以上先には進まず、インストールをキャンセルする。管理者パスワードの入力を求められても入力しない。インストールしてしまった場合には、ライセンス購入を迫られても購入したりせず、クレジットカード情報は絶対に入力しない。

 なお、偽セキュリティソフトの駆除方法については、アップルの技術文書を参照していただきたい。実行中のプログラムは削除できないので、「MacDefender」「MacSecurity」「MacProtector」「MacGuard」などの名前で動いているプロセスを終了してから、該当するアプリケーションをごみ箱に捨て、ごみ箱を空にするという手順だ。

■Windowsユーザーは脆弱性攻撃にも注意

 Windowsユーザーの場合には、自分でインストールしてしまう自爆のほかに、罠の先に仕掛けられた脆弱性攻撃にも注意していただきたい。現時点での攻撃には、未修整の脆弱性を悪用したゼロデイ攻撃はないので、ブラウザのプラグインなどを最新の状態にしておけば、偽セキュリティソフトを勝手にインストールされてしまうようなことはない。下記トピックスを参考に、アップデートを行っていただきたい。

(2011/05/30 ネットセキュリティニュース)

【関連URL】
・「Mac Defender」マルウェアの感染防止/除去方法(アップル)
http://support.apple.com/kb/HT4650?viewlocale=ja_JP&locale=ja_JP
・Mac Defenderの新たな亜種、MacGuardは、インストールにパスワードが不要(インテゴジャパン)
http://www.intego.com/jp/news/new-mac-defender-variant-macguard.asp
・Mac OS Xマルウェアが本格化(エフセキュアブログ)
http://blog.f-secure.jp/archives/50605046.html
・Macユーザーを狙う最新の脅威:偽セキュリティソフト「Mac Protector」(マカフィー)
・Mac Malware Monsoon in May[英文](McAfee)
http://blogs.mcafee.com/mcafee-labs/mac-malware-monsoon-in-may

投稿情報: 08:07 |

|