Macのみを標的とした新たなマルウェア「OS/Keydnap」が、セキュリティソフトウェア企業ESETにより報告されました。Mac OSのキーチェーンからパスワードを盗み出すものですが、OS標準のセキュリティ機能GateKeeperが適切に設定されていれば被害は防げるとのことです。
「OS/Keydnap」はZip圧縮ファイル形式で配布され、中にはテキストファイルないしJPEG画像が含まれています。が、その拡張子には余分なスペース("jpg "というぐあい)が入っており、Mac OSのターミナル上で実行できてしまいます。
これらをダブルクリックすると、Dock上に一瞬だけターミナルのアイコンが現れてすぐに消滅。とはいえ、GateKeeperが有効であればユーザーに対して「開発元が未確認のため開けません」という趣旨の警告が発せられ、実行を阻止してくれます。
もしGateKeeperが「(開発元に関係なく)すべてのアプリケーションを許可」に設定されていた場合、マルウェアはバックドアのコンポーネントをダウンロードした後に、ルート権限の奪取をはかります。そしてルートを乗っ取るとキーチェーンの解除パスワードを探し出し、ネットバンキングやGmailなどのパスワードを盗んでアップロードするとのことです。
ESETによれば感染経路は不明で、スパムメールに添付されてくるかもしれないとか。さらに、今のところ被害報告はなし。社内でのマルウェアの調査中にたまたま見つかったのかもしれません。
Macを狙ったマルウェアの報告は、今週に入ってから2件目です。先日発見された「Backdoor.MAC.Eleanor」はファイル変換アプリに偽装された「EasyDoc Converter」を実行すると、マルウェア本体がダウンロード。Mac OSにバックドアを作ってデータを盗んだりWebカメラを操作したりPCをロックしたり、あらゆるコントロールを許してしまう恐ろしいものでした。
が、これもMacのアプリケーション販売サイトMacUpdateで配布された「野良アプリ」であり、開発元の証明書が求められるMac AppStoreではそもそもダウンロードできません。「Macは(ユーザーが多いために狙われやすい)Windowsよりも安全」という神話が崩れつつあるなか、なるべくGateKeeperの設定はいじらない、AppStore以外でのダウンロードは控えるなど、自衛を講じるほうがいいのかもしれません。
(2016年7月9日 Engadget日本版「Macからパスワードを盗み出すマルウェアが登場。ただしGateKeeperが機能していれば実害なし」より転載)
【関連記事】