トレンドマイクロは3月8日、「Mac OS X」を狙う暗号化型ランサムウェアを初確認したと発表した。3月6日にオープンソースのBitTorrentクライアントソフト「Transmission」のバージョン2.90が、身代金要求型不正プログラム(ランサムウェア)「RANSOM_KeRanger.A(KeRanger)」に汚染されていたことを「Transmissionbt.com」が公表した。
同社では、この汚染された正規ソフトの一般利用者への頒布は、攻撃者によりサイトが侵害され、正規のインストーラがランサムウェアを含む形でリコンパイルされた不正なインストーラに置き換えられたことにより起こったものだとしている。
Mac OS Xにおけるランサムウェアの危険性については、2015年11月にブラジルのセキュリティ研究者が「Proof-of-concept(PoC、概念実証型エクスプロイト。実際に有効な攻撃ができることを実証している攻撃コード)」を公表していたが、実際に行われたランサムウェアの攻撃としては今回が初めての事例だという。
トレンドマイクロの解析によれば、このランサムウェアは実行されると3日後に発病し、暗号化型ランサムウェアとして活動する。まず、匿名通信システム「The Onion Router(Tor)」の匿名ネットワーク内のC&Cサーバにアクセスし、感染端末内の特定のファイル形式のファイルを暗号化し終わると、身代金要求のメッセージを表示する。確認されている検体によると、このランサムウェアは暗号化したファイルを元に戻すために、1ビットコイン(日本円で4万7000円程度。3月8日時点)を要求するという。
日本時間の3月5日午前4時から3月6日午後12時時までの間に、該当のソフト「Transmission」のバージョン2.90を「Transmissionbt.com」からダウンロードした利用者は、ランサムウェアの被害に遭う可能性がある。なお、バージョン2.92で「KeRanger」を削除する機能を実装しており、同社は対象ソフトウェアの利用者に対し、最新バージョンの導入を推奨している。
今回の事例は、Mac OS X初のランサムウェア攻撃であると同時に、Mac OS自体のセキュリティ機能である「Gatekeeper」の機能が回避されたことでも注目を集めている。
Gatekeeperは、インターネットからダウンロードされた不審なプログラムをブロックする機能だが、2月にも回避事例が確認されており、今回の事例も2月の事例と同様、インストーラに正当な開発元のデベロッパIDを持つデジタル署名が付加されていたため、Gatekeeper機能が有効に働かなかったという。今回の事例ではトルコの正規デベロッパのデジタル署名が悪用されていたとしている。
汚染されたソフトウェアの知名度や汚染ソフトウェアが公開されていた時間から考えても、影響は非常に限定的であった。しかし、同事例で見られたGatekeeper機能の回避は、今後発生する攻撃でも使用される可能性の高い手法だとした。このような正規デベロッパのIDを悪用する手法は、iOSにおけるApp Store回避による不正アプリの頒布などでも見られている。Appleのセキュリティを突破する1つの手法として、今後も注意が必要だとした。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」