「Dashboard」にご用心--Mac OS X「Tiger」の新機能、ハッカーの餌食に

　Appleの最新OS、Mac OS X「Tiger」の目玉となる新機能「Dashboard」は、ポルノ詐欺犯に悪用される可能性が高いようだ。

　Tigerに搭載されたDashboardは、計算や通貨換算など、日常的によく利用するアプリケーションをユーザーのデスクトップに半透明のレイヤとして表示するもので、Appleではこれに対応した新しいウィジェットの開発を盛んに呼びかけている。だが、同OSの発売からわずか数日で、このウィジェットを潜在的マルウェアに変えてしまう方法を発見したと断言する開発者が現れた。

　Developer Stephanと名乗るこの人物は、「やや悪質」だとする2種類のウィジェットを開発し、自らのブログでこれらを公開した。同氏によると、このうちの1つは、AppleのSafariブラウザを使って同氏の「Zaptastic」ウェブサイトにアクセスしたユーザーのデスクトップに、自動的にインストールされてしまうものだという。

　Stephanによると、これはブラウザを乗っ取るウィジェットを自動的にインストールできるため、ポルノ詐欺犯にとって願ってもない機会になるという。

　Stephanのブログには、「（自動インストール機能は）気に入った。素晴らしい機能だと思う。だが、ここでデモしてみせたように、これにはユーザーが気付かないうちにアプリケーションがインストールされるという副次的な悪影響もある」と書かれている。

　「ただし、これはそれほど深刻な問題でもない。ウィジェットは、デフォルトではさほど大きな危害は加えられないし、これを自分のダッシュボードにドロップしなければ実行されることもない。面白いのは、一旦そのウィジェットがインストールされると、それを削除することはできないとAppleが言っている点だ」（Stephan）

　ウィジェットは、ツールバーから直接削除することはできないものの、Libraryフォルダからなら削除できる。

　Stephanはさらに、「自分のLibraryフォルダの場所を見つけられない平均的ユーザーはお手上げだ。私なら30秒もあれば魅力的なアダルト画像を選んでウィジェットのアイコンにし、それをだれかのダッシュボードにドロップできる。それでもうおしまいだ。Javascriptさえいらない」とも記している。

　Stephanはまた、zaptastic_evilというウィジェットも作成した。これは、Dashboardを起動するたびにユーザーのブラウザをどこかのウェブサイトにリダイレクトし、さらにユーザーをDashboardから追い出してそのウィジェットを終了させないようにするものだ。

　Aaronという通称の別のブロガーは、Apple独自のウィジェットに酷似し、オリジナルの代用にもなる一連のウィジェットを作成した。これらの偽ウィジェットのなかには、ユーザーによる明示的な許可なしでもシステム全体にアクセスしてしまえるものもある。

　Appleはこの件に関するコメントを控えている。

　Macユーザーはこうしたウィジェットの利害を受ける可能性があるが、そのようなウィジェットはLibraryフォルダから削除して消したり、既に実行中のウィジェットの場合はアクティビティモニタでインスタンスを終了させるだけで対処可能だ。