Macを標的にしたマルウェアFlashback

Macを標的にしたマルウェア「Flashback」というのが話題になっています。

Ｍａｃ ＯＳ Ｘを狙う「Ｆｌａｓｈｂａｃｋ」マルウエア（日本経済新聞）


本旨とは関係無いですが、日本経済新聞はじめ、いくつかの新聞社はWEBの記事でなぜ全角英字を使うのやら。読みにくい上に、この手の話題だとそれだけで信用出来ない印象を持ってしまいますが。

それはともかく、Mac用のマルウェア「Flashback」というのが世界で60万台以上のMacに感染しているとか。Java の脆弱性を利用したもので、元々ユーザーを騙してインストールさせる際に「Flash Player」のアップデートを装っていたため、このような名前がついているそうです。今は他にも亜種がいろいろあるようです。

これについてエフセキュアブログに説明と対策がありましたので参考にして下さい。
・目下のMacマルウェア
・Flashbackはあるか？

---

結論から言うとJavaを無効にしておけば心配ないということだと思うのですが、特に現在の最新版の OSX 10.7 Lion はデフォルトで Java が入っていません。Javaを利用したアプリケーションを起動しようとするとインストールするかどうか聞いてきます。

この状態ならばそもそもJavaの脆弱性を利用したマルウェアは感染しません。

また、Safari の環境設定で「セキュリティ→Java を有効にする」のチェックを外す、という対応も出てくるのですが、Java がインストールされていない Lion ではチェックを入れようが入れまいが Java は実行されません、当たり前ですが。

そうは言っても、Lion で Java をインストールしている場合、Lionより前のOSを使っている場合はデフォルトで Java がインストールされていますので注意が必要です。

Apple は既にこのFlashbackに対応した Java Update を配布しています。

・Macを狙うマルウェア「Flashback」がまん延、Javaのアップデートを

しかし、Appleは OSX 10.7 Lion と 10.6 Snow Leopard 用しかアップデートを配布していません。ということで、10.5 Leopard や 10.4 Tiger を使っている人はどうすれば良いか、という話がCNETに出ていました。

・Java updates for Flashback avoid OS X Tiger and Leopard

１．MacのOSを新しくする

Intel製CPU搭載のMacを持っているなら少なくとも10.6 Snow Leopard まではインストールが可能です（Lion は古いものだとインストールできない）。

２．Java を無効にする

アップグレードできない場合は Java を無効にしましょう。Java Preference.app かSafari 等のブラウザの環境設定からJavaを無効にできます。

PowerPCのMacでもMacOSX 10.5.8までアップデートでき、Java を無効にできます。FlashbackがIntel製CPUのMacのみを攻撃対象としていることも疑われていますが、はっきりはしていません。

MacOSX 10.4 以前では、Java Preference.app に Java を無効にするオプションがありませんが、ブラウザの環境設定からは Java の無効を選択することができます。ローカルのJavaアプリケーションは動作してしまいますが、WEBベースのアップレットは停止することができます。

３．安全なブラウジング

ブラウシングする時にセキュリティに注意をすることは完全にアップデートされていた状態であったとしても無駄なことではありません。

• スパムメール等のリンクを踏まない
• ダウンロードの指示に乗らない
  ポップアップウインドウからソフトウエア（例えば Adobe Reader や Flash ）のアップデートを指示されても実行しない。この場合は直接開発元（Reader や Flash なら Adobe のWEBサイト）からアップデータをダウンロードする。Apple純正のソフトウエア・アップデートのような画面が現れても、進まずに一度終了して Appleメニューから「ソフトウエア・アップデート」を手動で起動する。
• 脅しに乗らない
  コンピューターが何かに侵されている、障害が起きているから何かを購入する必要があるというような警告が出たとしても、乗らないで一度離れて調べる。Apple のディスカッションボード等も利用してみる。
• WEBブラウザのプラグインは使うものだけ最小限にする
  Safari のメニュー「ヘルプ→インストール済みプラグイン」でインストールされているプラグインを確認することができる。使わないプラグインは「 /Library/Internet Plug-Ins/ 」フォルダから外しておく。

---

Computer World （日本語版）に Flashback チェックツールが紹介されていました。

・Macで感染するトロイの木馬「Flashback」のチェック・ツール登場

これは上に紹介したエフセキュアブログのターミナルを使ったチェック方法をGUI化したものだそうです。Computer World は信頼できるメディアだと思っています。試してみました。

こんな感じです、Flashback については特に問題ないようです。一応、このツール自体がマルウェアである可能性も考慮しなければならないところかと思うのですが、確実なことは言えませんが、とりあえずは問題ないと思います。

このツールの是非は別として、こうしたものは「 Flashback に感染しているかもしれない→他人に迷惑をかけている」という義務感もあって、焦って入れてチェックしたくなるものですが、そういう心理に付け込むものこそ警戒が必要な性質のソフトウエアであると思います。一応習慣として焦ってインストールする前に確認するようにしたいものです。

（4/13追記）
Apple から Flashback の除去に対応したアップデータが配布されています。
（4/18追記）
Javaをインストールしていない人向けのFlashback削除ツール