2015年12月14日月曜日

OS X でもランサムウェアに感染させることができることを証明した Mabouia の存在


みなさん、こんにちは!

PC 内の写真や書類などのファイルを暗号化し、拡張子を強制的に .vvv にしてしまう「vvv ウイルス」が世間を賑わせました。Cryptowall などと同じように、Windows 用のランサムウェア(身代金要求型不正プログラム)の亜種です。

これは Windows OS の話ですが、OS X でもランサムウェアに感染させることができることを証明したサンプルコード「Mabouia」の存在をご存知でしょうか?


この Mabouia は、ブラジルのセキュリティ研究者 Rafael Salema Marques 氏が発表した概念実証用のランサムウェアです。この概念実証の目的はただひとつ、「Mac を標的とするマルウェアはない」という神話を信じる Mac ユーザに対して警告するためです。また、一般的に Mac ユーザは購買力が高く、画像やテキストを編集するといったあまり高度でない使い方が多いという理由から、Mac ユーザはこのようなランサムウェアの格好の餌食になる、ということにも言及しています。

Mabouia の仕様は、ランサムウェアの多くの亜種で使われているモデルが利用されているようです。侵入先の Mac 上で事実上解読不可能な方法でファイルを暗号化し、暗号鍵をコマンド & コントロールサーバに送信します。ファイルを解読する唯一の方法は、ランサムウェア作成者に金銭を支払い、ファイルの暗号化を解除できるパスワードを入手するという流れになります。ただし、金銭支払いの要求に応じても、100% ファイルの暗号化解除ができるという確証はどこにもありません。

この Mabouia は、悪意のあるコードを実行するためにスーパーユーザ権限は必要なく(ランサムウェアが手を加えるのはユーザの個人ファイルのみのため)、従って、たった一回のクリックで感染してしまいます。

Mabouia の挙動は下記の動画から確認できます



Intego 社の方では、12/11(金)のウイルス定義ファイルの更新において、Mabouia への対応を完了しています。アップデートがまだの方は、NetUpdate よりウイルス定義ファイルの更新を実行ください。また、vvv ウイルスや Cryptowall などの Windows 用のランサムウェアは亜種が大量に存在していますが、既知のものは VirusBarrier でも検出できます。


Marques 氏はこの概念実証の発表と同時に Apple やシマンテック社にも報告をしており、善良なホワイトハッカーになりますが、もし今回のランサムウェアの作成者が悪意のある者であればどういう結果になっていたのでしょうか?この概念実証によって、OS X でもランサムウェアの脅威が存在するということが決定的になりました。すべての Mac ユーザは、前述の Marques 氏の警告を真剣に考えていかければいけない時期に差し掛かってきています。

それでは本日はここまで。

テクニカルサポート - TH

- Intego セキュリティ - OS X , iOS 専用に開発されている信頼のブランド -
Intego X8 シリーズ 詳細・ご購入

- 関連情報 -
act2 サポートブログ - Web ブラウザのポップアップ詐欺に注意せよ!
act2 サポートブログ - あなたのプライバシーを守る、Mac セキュリティ強化策

- act2 サポートサイト -
act2 Support Portal

0 件のコメント:

コメントを投稿