ブログ

FFRI BLOG

2014-11-12 Monthly Research 「OS X のマルウェアとセキュリティ

今月のMonthly Researchでは、OS Xのマルウェアとセキュリティについて調査しました。

OS X とは、AppleのMac 向けのOSであり、以前はMac OS Xと呼ばれていたものです。そのOS X に感染する新しいマルウェア”iWorm”が9月末に発見されました。発見したロシアのセキュリティ企業Dr.Webによると全世界で 17,000 以上の端末が感染していたとのことです。

iWormの感染源は海賊版ソフトウェアであり、特定の海賊版ソフトウェアをインストールすることで感染したようです。iWormはボット型のマルウェアで、攻撃者がソーシャルニュースサイト reditt.com に書き込む C&Cサーバのアドレスとポートのリストを受信し、そこに接続して命令を受け取る仕組みでした。公開サイトを利用する点は、パソコン遠隔操作事件のIESYS.EXEと似ています。iWormについて、reditt.comやApple、セキュリティベンダが対策を講じたことで感染拡大は防がれたようです。



ここ数年で、OS X も様々なマルウェアによるサイバー攻撃の対象になっています。

代表的な OS X のマルウェアにFlashbackがあります。2011年に感染拡大したマルウェアで、60万台以上に感染して大規模なボットネットを形成したと言われています。その感染経路は、Adobe Flashのインストーラを偽装ファイルのほか、改ざんされたWebページからの感染(Drive-by Download)する亜種もあると言われています。

また、2013年には Apple を含む複数の企業に対する水飲み場攻撃が行われました。iPhoneデベロッパーフォーラムサイト iPhonedevSdk.com が改ざんされ、Java プラグインの脆弱性を攻撃するコードによって、OS X で動作するバックドアに感染させられたようです。この攻撃では、Apple, Facebook, Twitter, Microsoft を含む最低 40 社に被害を受けたと言われています。 このように、OS XもWindows と同様にWeb 経由の脆弱性攻撃や水飲み場攻撃に狙われるようになっています。

これらの他にも OS X にはワーム、ボット、スパイウェア、スケアウェア、RATなど様々なマルウェアが既に出現しています。これまでに発見された OS X のマルウェアについて、ESET の"Mac Malware Facts"というサイトにまとまっています。2004 年から 2014 年の 10 年間でも 1 サイトに収まる種類数ですが、2010 年以降は新種が増加傾向にあります。

マルウェアが増加する一方で、OS X もマルウェア対策となるセキュリティ機能を強化しており、OS X 10.10 Yosemite までに次の機能が実装されています。

●脆弱性攻撃対策機能 NX/W^X(10.5~)と ASLR(10.7~)
●意図せずにマルウェアが実行されるのを防ぐ機能Gatekeeper(10.7.5~)
●アプリの脆弱性が攻撃されても意図しない動作を防止する機能App Sandbox(10.5~)
●標準搭載のパターンマッチング方式のウイルス対策ソフトXProtect(10.6~)

ここで興味深いのは、パターンマッチング方式のウイルス対策ソフトXProtect が標準搭載されているという点です。iWormのように話題になったマルウェアはAppleがXProtectにて対応するようです。Windows 8/8.1に標準搭載されているWindows Defenderもマルウェア対策機能を備えるように強化されています。このようにマルウェア対策ソフトは最新OSの標準機能となっていますが、パターンマッチング方式では、どうしても対応が後手になったり、パターンが作成しきれないマルウェアが出てきます。これらの問題に対処するには、振る舞い検知などのヒューリスティック検知技術が重要だと考えています。



最後に、OS X に対するセキュリティ研究について紹介します。OS Xに対する新しい攻撃手法は日々研究され、発表されています。今年の10月に開催されたBlackHat Europe 2014 では、最新のOS X である 10.10 Yosemiteでも有効なrootkit 技術に関する研究発表があり、攻撃に悪用される可能性が示唆されました。今後もOS X に対する新しい攻撃手法が発見される可能性があります。

Web系エンジニアの間では、メジャーなOS Xですが、みなさんマルウェア対策は実施していますでしょうか?また、OSの提供するセキュリティ機能を理解して正しく使っていますでしょうか? Windowsに比べるとまだマルウェアの脅威は少ないと考えられますが、既に高度な攻撃も行われていますので注意が必要だと思います。

まずは、ブラウザ、Javaなどのブラウザプラグインなど攻撃を受けやすいアプリケーションの脆弱性情報に収集し、アップデートがリリースされた際はきちんと適用すること、OSがセキュリティ警告を出した場合は無視せずに内容を確認することをお勧めします。


Monthly Researchのダウンロードはこちら


関連記事

Monthly Research 「POSマルウェアについて」

Monthly Research 「SELinux再入門-Android編-」

Monthly Research 「アンチウイルスの検知率の一例と未検知検体の類似度」

セキュリティ業界、1440度(11):マルウェア捕獲後、フリーズドライに?「Black Hat Europe 2014」に参加してきた