Mac OS Xマルウェアの進化

（Mac）OS X固有のマルウェアは存在するのか。

もちろんだ。だが、どういうわけか、この話題についてずいぶん長いこと取り上げてこなかったような気がする…。

最後に触れたのは2年と6か月前のことだ。そう、世界各国で70万台のMacに感染したFlashbackワームが大規模な被害をもたらしたのは、それほど前の話である。この事件は、セキュリティ業界でかなり話題になった（Flashbackボットネットはすぐに無効化された）が、それからはほとんど何も聞こえてこなかった…。人によっては、それ以降Macマルウェアは完全になりを潜め、Apple湾に波風たてるような「iMalware」は一度も現れなかったと思っているかもしれない…。

しかし、それは間違いだった… 確かに、プラットフォーム別のマルウェアにおける脅威レベルを比較した場合、他を圧倒的に引き離してトップの座に君臨するのは、最も広く利用されている、Microsoft Windowsだ。それからかなり後方にいるのが、比較的新入りのAndroid。そう、過去3年間、サイバー犯罪者たちは不正な活動を急激に活発化させ、哀れな緑色のロボットにおびただしい爆撃を繰り返しているのだ。その一方で、iPhoneとiPadの世界では、非常にまれにサイバースパイ攻撃があったものの、（さまざまな珍しい手法を使いながらも）成功したものはほとんどない。Macについても同様だ。他のプラットフォームと比べて、状況は比較的穏やかである。ところが最近、不穏な動きがうかがえる。今回はこれについて話したいと思う。

いくつか数字を挙げる。エグゼクティブサマリーのようなものだ。

• 過去数年間に検知されたMacマルウェアの新規インスタンスの数は、すでに1,000単位規模
• 2014年の最初の8か月間、Macマルウェアの異なる「ファミリー」は25ほど検知されている
• 保護されていないMacが、Mac固有の不愉快な何かに感染する確率は約3%

@kaspersky は、2013年だけでOS X向けのマルウェア検体を1,700個近く検知したTweet

そして、この状況をマルウェアのエキスパートの視点で、内部からさらに詳しく掘り下げてみると、事態はあまり芳しくないようだ…。 Macの脅威は進化しており、Macユーザーのセキュリティ意識も変わってきた（それほどではないが）。重要なのは、今後何が起こりうるかだ。そこで、感情を排し、数字と事実のみの公平な分析を行ってみた。コメント欄で公平かつ冷静なディスカッションがしたければ、ぜひ参加してほしい。 まずは最新レポートを見てみよう。 ここ数年、Macの脅威の世界で何が起きていたのだろうか。最初に次のグラフを見てほしい。当社がこの10年ほどで発見したOS Xの悪質ファイルの数だ。

*2014 – 概算

見てのとおり、つい4年前までは悪意あるファイルの「捕獲」数はたった50だったのが、2011年に入ると突然増加し、それ以降は年間100単位に及び、ほぼ1,000単位にまで増えた。

では、具体的にどのようなものが捕獲されるのだろうか。

今年の最初の8か月、我々はMacへの攻撃を1,000種類近く検知し、これらを25の主要なファミリーに分類した。特に興味深いものをいくつか紹介しよう。

• Backdoor.OSX.Callme – 特別に細工されたMS Wordドキュメントの形で拡散し、起動するとぜい弱性を突いてシステム内にバックドアをインストールする。これにより、攻撃者はシステムをリモートからアクセスできるようになり、同時に連絡先リストを盗み出す。これは明らかに、次の標的を見つけるためだ。
• Backdoor.OSX.Laoshu – 1分おきにスクリーンショットをとる。開発者の信頼できる証明書で署名されている。どうやらウイルス作成者は、App Storeへアップロードしようと計画していたようだ。
• Backdoor.OSX.Ventir – スパイ活動をするマルチモジュール型のトロイの木馬で、リモート制御機能が隠されている。オープンソースのlogkextドライバがベースのキーロガーを含む。
• Trojan.OSX.IOSinfector – Trojan-Spy.IPhoneOS.Mekir（OSX/Crisis）のモバイル版インストーラー。そう、感染先はiPhoneだ。
• Trojan-Ransom.OSX.FileCoder– OS X初のファイルエンクリプター。ただ動作するだけで、バグの多いプロトタイプ。
• Trojan-Spy.OSX.CoinStealer– OS X初のBitcoin搾取マルウェア。いくつかのオープンソースのBitcoinツールに偽装している。実際は、不正なブラウザー拡張機能やbitcoin-qt（オープンソースのBitcoin採掘ツール）のパッチ適用済みバージョンをインストールする。

聞いたこともない（でもあなたのMacに入っているかもしれない）OS X向けマルウェアとは。#マルウェアTweet

この時点での論理的な結論は、こうだ。確かに最近はMacのマルウェアがいくつかあるが、ユーザーにとって深刻な脅威になのか？保護されていないMacが感染する可能性はどれくらいか？最も流行している不正プログラムはどれか？

Kaspersky Security Network（KSN）のおかげで、その答えが得られた。だが、数字を分析する前に、まずは重要な免責事項を述べたい。これらのデータは当社製品のユーザーだけのものだ。他のセキュリティ製品のユーザーやアンチウイルスを使用していないユーザーも含め、世界中でどのようにマルウェアが広まっているかを分析しようとしたが、さまざまなソースから推定したデータをベースに、報われないながら近似値を求める大変な作業になった。それでも、Kaspersky Security Networkのデータを掘り起こすのは、ウォーターサーバーの横で雑談するためだけでも、価値ある作業だ。 さて、2013～2014年に検知されたOS Xマルウェアのトップ20（全世界）を見てみよう。

名前	検知数	%
AdWare.OSX. Geonei. (b)	56,271	39.15
Trojan.OSX. Vsrch. (a)	28,222	19.63
AdWare.OSX. Geonei. (d)	23,904	16.63
Trojan.OSX. Yontoo. (i)	7595	5.28
AdWare.OSX. FkCodec. (b)	6395	4.45
Trojan.OSX. Yontoo. (h)	3636	2.53
Trojan.OSX. Yontoo. j	3366	2.34
AdWare.OSX. Geonei. (c)	2889	2.01
Trojan.OSX. Yontoo. (a)	2079	1.45
AdWare.OSX. Geonei. (e)	1758	1.22
Trojan.OSX. FakeCo. (a)	1413	0.98
Trojan.OSX. (a) the Okaz.	1126	0.78
Trojan-Downloader.OSX. Vidsler. (a)	868	0.60
RemoteAdmin.OSX. AppleRDAdmin. (c)	677	0.47
AdWare.OSX. Bnodlero. (a)	656	0.46
Trojan.OSX. Yontoo. (b)	633	0.44
AdWare.OSX. FkCodec. (a)	609	0.42
Trojan-Downloader.OSX. FavDonw. (c)	571	0.40
AdWare.OSX. Geonei. (a)	544	0.38
Trojan.OSX. Yontoo. (d)	533	0.37

こちらは同時期の「iMalware」の分布図だ。 このデータをよく見ると、検知されたうち半分ほどはアドウェアが占め、一方で全体の3分の2は上位3つの不正プログラムで占められていることがわかる。また、iMalwareの地理的な分布状況は、Macが人気の地域とほぼ一致している。つまり、最もお金を持った潜在的な標的がいる先進国で拡散しているということだ。そして最後は、不思議なことに、有名なFlashbackがトップ20に入っていない。 では、このデータから何がわかるのだろうか。

1. サイバー犯罪者は、ほぼ合法的な（「ぎりぎり」合法的な）アプローチで稼ぐのが最も簡単と考えている。継続的な広告も利益になり、大規模感染と組み合わせれば、大金が転がり込む。

2. OS Xのウイルス作成者は比較的少ないが、洗練された人種だ。Windowsウイルスの世界とは違い、OS Xウイルスの世界の住人は「面白半分のウイルス」という子供の段階を飛び越え、必要とされる本格的なマルウェアの秘訣をたずさえて、まっすぐ（Mac OS の）大人の階段をかけ上っていった。彼らは本気なのだ。まずはWindowsプラットフォームでスキルを磨いた可能性は非常に高く、その後、Macへと移り、新しい未開拓の領域を掌握し、まだ見つかっていない財脈を探っている。結局のところ、そこには金が転がっており、ユーザーはセキュリティにあまり興味がない。つまり、全力を注ぐ気概のあるブラックハットたちにとって、そこには大いなる可能性があるということだ。

3. プロの諜報活動グループは、本気でOS Xのエクスプロイトに取り組んでいる。ここ数年発生している多くのAPT攻撃はMacモジュールを活用している。たとえば、Careto、Icefog、そしてウイグルの活動家たちを狙った標的型攻撃が挙げられる。攻撃は、多数ではなく少数に対して、ピンポイントで行われている。特別に選ばれた標的に向けて実行されているのだ。トップ20に入らないのは、こうした理由からだ。だからといって、危険性が低いというわけではない。情報機関の関心を引きそうなデータを持っていれば、なおさらだ。

では、上記の統計情報について、実際の関連性を紐解いてみる。

確かに、Windowsの世界における大災害に比べて、18か月で10万規模の検知はそれほど酷いわけでもなく、大して脅威は存在しないという結論へ簡単に到達するかもしれない。そう、脅威はほぼ存在しない。しかし、「ほぼ存在しない」ということは、AppleユーザーはリラックスしてセキュリティをApple任せにしてもいいのだろうか。言い換えれば、保護など気にしなくてもいいのだろうか。さらに続けよう。

誰が被害妄想で誰が被害妄想ではない間違っているかを理解するには、Kaspersky Security Networkのデータに戻らなければならない。今度は、まん延のレベル、つまり保護されたMacの数に対するMacマルウェアのユニーク検知数の割合を見ていく。

今年8月において、Macマルウェアに感染しうる可能性は約3%だった。Windowsユーザーの感染率が21%と考えると、大したことはない（Kaspersky Security Networkデータ）。それでも、1つのMacマルウェアが年に10回、アクティブなインターネットユーザーのMacを覗き見ていると解釈することもできる。

そして、話は興味深さを増していく…。

1. 「iMalware」に狙われているのはAppleユーザーだけではない。一部の攻撃タイプには、コンピューターに搭載されたOSが何であろうと気にしないものがある。フィッシング攻撃やMITM攻撃がその例だ。そして、これらは非常に広範な脅威となっている。こうした犯罪者が最も関心あるのは、ユーザーの銀行口座、使用する主要なWebサービス、ソーシャルネットワークでの活動だ。

2. Macは、Macらしからぬ別の種類の脅威にさらされている。サードパーティソフトウェアの穴を通ってやってくるJava、Flash、Silverlightなどだ。Macの既定のソフトウェアではないが、多くのユーザーがWebの魅力をすべて享受しようとダウンロードし、インストールしている。

よく使われているサードパーティソフトウェアすべてを加味した場合、攻撃の割合がどう変わるかはわからない。しかし、倍増することは間違いないだろう。

Mac特有のマルウェアだけがMacに対する脅威なのではない。フィッシング、中間者攻撃、サードパーティソフトウェアのぜい弱性もあるTweet

3. これは、マルウェアの脅威とは少し異なる。アンチウイルスソフトウェアは、さまざまな脅威から人知れず守る裏方業を、はるか昔にやめている。最近のアンチウイルス製品には、ソフトウェアの標準的な概念をはるかに超えた、便利な機能を多く備えている。たとえば、ペアレンタルコントロール、パスワードマネージャー、Wi-Fi信頼度チェック、Webカメラのブロック、その他さまざまな機能がある。機能面において、Macのセキュリティ製品はPCのそれより遅れているのは事実だが、徐々に、かつ確実に追いついてきている…。

さて、少し未来の話をしよう… 長い間、多くの人から常に上がり続ける質問が2つある。「なぜMacのマルウェアはこれほどまでに少ないのか」と「状況は悪化するのか」だ。

何度も言ってきたことだが、特定のプラットフォームにマルウェアが存在する上で必要不可欠な条件は、3つある。（1）プラットフォームには安全性の低いアーキテクチャが必要であり、結果としてぜい弱性が生まれる。（2）かなり広く利用されている。（3）サードパーティのアプリケーション開発向けにツールを提供する必要がある。OS Xにないのは、（2）のみだ。

見識のある読者であれば「そんなこと！」と言うだろう。しかし、OS Xが動作するコンピューターは、今では8,000万台以上ある。広く利用されていると十分言えるのではないだろうか。そう見えるだろう。もっとも、Windowsコンピューターは15億台あるわけだが。

以前このブログで、コンピューターアンダーグラウンドの経済について記事を書いた。すべてのOSに適用される基本ルールが存在し、そこにOS Xも含まれるという内容だ。サイバー犯罪者の目の前には、Windowsベースのコンピューターという何千万台もの豊かな市場がある。アンチウイルスソフトウェアを使用していない人もいるし、ほとんどの人は更新せず、その他は無料で穴だらけのアンチウイルスソフトウェアを使用している。そんな状況なら、手がかかるうえに普及度の低いOSにわざわざリソースを割くことは無意味だと感じるだろう。言い換えれば、Windowsの方が侵入しやすいということだ。難しい（OS Xの）方を試す理由はない。

目を向けるべき点はそこではなく、OS Xのような（市場規模から判断して）「マイナー」なOSが経済的な関心を引くような、クリティカルマスがどこに存在するかだ。私は以前、グローバルのインストールベースの5～7%がクリティカルマスレベルであると指摘した。しかし、それは実際よりも低すぎた。今年、OS Xは10%近くに上昇した。それでも、ウイルス作成者のスタンスはまったく大きく変わらなかった。あるのは、ぎこちない、消極的な、概念実証の、そんな不穏さのみだ。

出典

傾向から推定すると、Appleは3年間で市場の15％を占めるまでになった。これは、iMalwareの開発を急増させるきっかけになるのだろうか。

私にはわからない。急に増えるかと言われたら、そうはならないだろう。ただ、増加することは間違いない。誰か、これに関する予測を出していないだろうか？

では、OS Xの市場シェアがようやくクリティカルマスに達したとき、何が起きるのだろうか。

まず、膨大な数の被害者と巨額の金銭的損失を伴う大規模な感染がいくつか発生するだろう。続いて、ウイルス作成者が、OS Xが実行可能で収益性のある対象になったことを理解すると、他のウイルスをコピーし、大勢が攻撃対象のプラットフォームを切り替える、そんな連鎖が起こるはずだ。

もう1つ考えられるシナリオは、OS Xに対するAPT攻撃により、突然制御が効かなくなることだ。たとえば、バグ文書化されていないマルウェアの機能、または漏えいした攻撃の技術によってグローバルな感染が起こったり、コンピューターアンダーグラウンドでマルウェアが拡散されたり、大量のクローンが登場したりなどだ。

Macのセキュリティの実情は、推測するのが難しい。というのも、ほとんどのMacユーザーは大好きなベンダーの神聖性と絶対確実性に絶大な信頼を捧げているからだ。そのため、何千万もの保護されないMacで実際何が起こっているかは、わからない。まるで氷山の一角のようだ。そして、そんな一角が、2012年3月のFlashbackワームのような、予期せぬ不快な驚きをもたらすことがある（タイタニック！）。だが、今どのようなマルウェアがあるのか。何を行っているのか。そして、誰が裏で操っているのか。それはいつものごとくサイバー犯罪者なのか、それともプログラマーを雇用するホワイトカラーの人間なのか。いずれも興味深い疑問で、答えは徐々に明かされるだろう。だが、そのためには皆さんの助けが必要だ。我々は強制的に皆を救うことはできない。よって、自分たちの身は自分たちで守ってほしい。少なくとも、最初の一歩を踏み出してMacの安全性に対する姿勢を変えてほしい。

それまでは、Macの健全性を維持し、安全を保つための簡単なヒントをいくつか紹介しておこう。

Macの健全性を維持し、安全を保つための簡単なヒントTweet

Macのセキュリティに関する話は、こんなところだ。だが、この問題には引き続き注目してほしい。この前線については、必ず近々続報がある。しかも、さらに興味深い内容で。

P.S.おっと、これは早かった！「この興味深い前線の続報」が、思っていたよりも早く到着した！ リサーチャーが発見したBashシェルコードの深刻なぜい弱性は、Linux、UNIX、そして、そのとおり、OS Xにも影響を与えることがわかった。パッチは急ピッチで作成されているが、今のところあまり進展はない。実際にパッチを適用するMacユーザーは何パーセントくらいいるのだろうか。そして、どのくらいの人がサイバー犯罪者のために穴だらけのシェルを開きっぱなしにするのだろうか。もしくは、対処する人はどのくらいいるのだろう。Macユーザーがパッチを適用したとしても、世界中の産業制御システムやスマートグリッドの多くがUNIXを愛用していることも、忘れてはならない。誰かまだBlasterを覚えているだろうか。当時、Microsoftはこの大惨事より数か月も前にパッチをリリースしている…大惨事、とは大げさに言っているのではない。米国東部は大規模な停電に見舞われている。