Accuvant LabsのプリンシパルリサーチコンサルタントであるCharlie Miller氏は米CNETとの電話で、「Macを購入して使用する人が増えるにしたがって、マルウェアも増えるだろう。Javaの脆弱性が要因としてあることも拍車をかける。実際のエクスプロイトはOSに依存しないため、(マルウェア作成者は)OS Xのエクスプロイトの記述方法を知っている必要はなかった」と述べた。
今回の事例において、マルウェア作成者が標的にした弱点はJavaだった。2010年以降、AppleのコンピュータにはJavaが標準搭載されてはいないが、Appleは独自のリリースによって同テクノロジをサポートしている。Javaランタイムは、エンタープライズアプリケーションから「Minecraft」のような人気の3Dゲームまで、さまざまなソフトウェアで使用されている。Appleは2010年11月に「OpenJDK」プロジェクトの計画を発表した際、これらのバージョンは「OS X Lion」でも保守を継続するが、「Java SE 7」とそれ以降のバージョンはOracleが管理および配布すると述べた。
トレンドマイクロのシニアスレットリサーチャーであるPaul Ferguson氏は、Javaが関連するかどうかにかかわらず、AppleやMicrosoft、そのほかのブラウザメーカーが構築を支援している現在進展中のウェブ標準であるHTML5も、将来的な攻撃について同様の脅威にさらされていることを示唆した。
Ferguson氏は、「HTML5が至る所で使用され、脅威に対する今回と同様の脆弱性が露呈するようになれば、ユーザーのブラウザ内で動作するボットネットが出現する可能性がある」と警告する。「これらのプラットフォームが普及すればするほど、モバイルデバイスであるのか、あるいはコンピュータなのかということは重要ではなくなってくる。Javaやそのほかのクロスプラットフォームテクノロジを実行していれば、脅威の対象になり得る」(Ferguson氏)
マルウェアプログラムの目的は、ユーザー情報を収集して、サードパーティーに売却したり、詐欺行為に利用したりすることだ。感染したマシンはボットネットとして、分散型サービス拒否(DDoS)攻撃用に利用される可能性もある。Flashbackは、Macユーザーに対するマルウェアを使用した一連の攻撃として最新のものだ。ただし、Flashbackはそれほど新しいものでないことが分かっている。
Independent Security EvaluatorsのプリンシパルセキュリティアナリストであるSteve Bono氏は、「Flashbackはこれまでに何度か出現を繰り返している。これらコンピュータが感染状態にあるのは、Flashbackが発見された当初、つまり、2011年秋頃からという可能性もある。パッチを適用されることなくこうした状態が放置されると、脆弱性が明らかになった後、そのパッチを作るのに何カ月もかかることがある」と述べた。
Flashbackでは、まさにその通りになった。Adobe Systemsの「Flash」インストーラに見せかけたソフトウェアに依存していた前のバージョンは、セキュリティアップデートの一環として駆除されたが、今回の最新の変種はそれまでと違ってJavaを経由した。Oracleは2012年2月、Javaをアップデートして、攻撃者が悪用していた脆弱性を修正したが、Appleがユーザーへの配布と保守を行っていたバージョンについては、同社がソフトウェアアップデートツールを通して修正するまでに、もっと長い時間を要した。
Flashback以前に出現して注目を集めたマルウェアに「MacDefender」と呼ばれるソフトウェアがある(「Mac Security」や「Mac Protector」という名前でも呼ばれた)。この偽のウイルス対策プログラムはユーザーを狙う際、正当なウイルス対策プログラムを装い、コンピュータ上で問題を検出する。問題の除去は、ユーザーが同ソフトウェアの完全なライセンスを取得することと引き換えとなっていた。しかし、ふたを開けてみると、MacDefenderが検出したふりをしていたウイルスは、実際にはこのプログラム自体に起因するものだった。
CNET Japanの記事を毎朝メールでまとめ読み(無料)