「TrendLabs(トレンドラボ)」では、Mac OS X を狙った新たな不正プログラムを確認。トレンドマイクロの製品では、これを「OSX_MORCUT.A」として検出します。これは Mac OS X の最新バージョン 10.8 である「Mountain Lion」がMac App Store でリリースされたのと同じタイミングで発見されました。
「OSX_MORCUT.A」は、リモートコンピュータ上でバックドアとして機能するもので、攻撃者が感染したコンピュータへアクセスすることを可能にします。そしてこの不正プログラムの不正活動は、ファイルの検索やネットワーク接続の確認、ファイルのダウンロードおよびアップロード、感染コンピュータ上でのコマンドの実行、自身のアンインストールといったように、Windows のオペレーティングシステム(OS)上で活動するバックドア型不正プログラムの動作とさほど違いはありません。またこのバックドア機能に加えて、この不正プログラムはルートキット機能を備えており、自身のファイルやプロセスを隠ぺいします。
通常と異なるのは、この不正プログラムが、音声を録音する機能を備えている点です。近年発売されたほぼすべてのMac製品には、マイクが内蔵されています。そのため、この不正プログラムに感染したコンピュータは、事実上、監視装置としての役割を担うことになります。これら確認された挙動とともに、「OSX_MORCUT.A」は、精巧な情報窃取ツールとしても機能し、おそらく標的型攻撃において利用されることが考えられます。Mac を利用している意思決定者や上級利用者の数がどれだけいるかを考慮すると、この不正プログラムの本来の目的が「監視」であるかどうかは疑問です。
また解析から、この不正プログラムは、「Leopard」や「Snow Leopard」、「Lion」といった従来のOSバージョンにおいて実行されますが、最新バージョンの「Mountain Lion」では実行されないことが判っています。「OSX_MORCUT.A」が、Mountain Lion では機能しない状態で、なぜこの最新バージョンが公開されたのと同じ日に登場したのかは疑問です。しかし、不正プログラムの作成者は、不正プログラムを数時間のうちに「アップデート」し、亜種を生成することが可能なことからも、「OSX_MORCUT.A」が Mountain Lion 上で動作できないとするのは時期尚早かもしれません。Mountain Lion の公開に伴い、このバージョンを標的とする新たな検体、もしくは新たな脅威に近々遭遇することが予想されます。
Windows や他の OS同様、Macが不正プログラムによる影響を受けないということは決してありません。また今回の事例で確認されたルートキットコンポーネントの存在は、Mac を狙う脅威が日々進化しているという事実を明らかにしています。さらにコンピュータの更新を怠っていると、Mac を利用する一般ユーザおよび Mac を導入している企業が、重大な問題を被る可能性があります。
参考記事:
by Christopher Daniel So (Threat Response Engineer)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)