| トレンドマイクロでは 2013年の脅威傾向として非Windows、非PC への脅威拡散の増加を予測しています。先日来非Windows環境への攻撃事例として、RPMベースの Linux を狙う「SSHD Rootkit」の事例、非Windows系の Webサーバとして高いシェアを持つ「Apache」を狙ったWeb改ざん攻撃の事例、などを確認しています。そして今回は、Windows から Mac OS への不正プログラム拡散ケースとして興味深い事例を確認しました。 |
「ADW_YONTOO」はWindowsで拡散している、一般にアドウェアとして認識されている迷惑ソフトです。「ADW_YONTOO」は、Internet Explorer(IE)、Google Chrome、Firefox などブラウザのアドオンとして組み込まれる迷惑ソフトです。「Yontoo LLC」という会社が開発しています。特に海外製フリーウェアなどにバンドルの形式で頒布されていることを確認しています。
 |
|
|
 |
|
|
「ADW_YONTOO」はインストールされると、一般の Webサイトなどに頻繁に広告を表示する活動を行うため、望まれない迷惑ソフトとしてみなされています。トレンドマイクロでは、ベンダーを名乗る Webページが運営されていること、アンインストール機能が有効に動作すること、など複数の条件から「ADW_YONTOO」を 2011年より「アドウェア」として検出対応しています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の収集した情報では、特に 2012年12月以降「ADW_YONTOO」の検出増加が確認されており、日本でも誤ってインストールしてしまう人が多いことを示しています。
このグレーな存在であった「ADW_YONTOO」が Mac OS にも対応したことをトレンドマイクロでは確認しました。Windows上のみの不正プログラムが、Mac OS をも標的にしたことが明確に確認できた珍しいパターンと言えます。
このMac OS版「Yontoo」は Windows版よりも悪質度を増しています。まず、侵入口として、海外の Webサイト上で配布されていることを確認しました。このWebサイトは有名映画が無料で視聴できることを謳っている不審なサイトです。Mac OS版「Yontoo」は、このサイト上で動画再生に必要な動画コーデックの Plug-in を偽ってインストールが促されています。プログラムの機能を明らかに偽った形でインストールが要求されており、もちろん悪質度が高いものと判断できます。
 |
|
|
ユーザーが動画再生コーデックの Plug-in と勘違いしてインストールしてしまった場合、Mac OS版「Yontoo」はブラウザの機能拡張として組み込まれます。Mac OS版「Yontoo」の感染は、ブラウザの機能拡張画面から確認可能です。
 |
|
|
トレンドマイクロの解析では、Mac OS版「Yontoo」は感染後、広告の表示だけではなく、不要なアプリケーションをダウンロードする URL へアクセスする活動を行うことも確認しています。
これら、Windows版「Yontoo」には見られない悪質な活動から判断し、トレンドマイクロでは Mac OS版「Yontoo」を 不正プログラム「OSX_YONTOO.A」として検出対応しています。Mac OS では不正プログラム脅威の攻撃対象ではないとの認識があるため、十分なセキュリティ対策が行われていない場合も多いのではないでしょうか。攻撃者はそのようなユーザーのセキュリティ認識を十分に考慮した上で、攻撃をエスカレートさせてきたものと考えられます。
■トレンドマイクロの対策
トレンドマイクロでは今回のMac OS向け不正プログラム「OSX_YONTOO.A」を、パターンファイル、あるいは「Trend Micro Smart Protection Network」の一機能である、「ファイルレピュテーション」技術で検出対応します。
また、不正プログラムによる外部ダウンロードサイトなどへのアクセスを遮断する対策を、Webサイトの危険性評価技術である「Webレピュテーション」技術により実現しています。
特に、Mac OS向けセキュリティ対策製品としては「ウイルスバスターfor Mac」(「ウイルスバスター クラウド」に同梱)を提供しています。
これらの製品や機能を有効にして対策を強化することを、トレンドマイクロでは推奨します。
※解析およびリサーチ:吉川孝志(Regional Trend Labs)