ニュース

1万7000台を超えるMacがマルウェア「iWorm」に感染、感染源は不明~掲示板「reddit」からの命令を待っている

 1万7000台を超えるMacがマルウェアに感染し、ボットネットを形成していることが、セキュリティソフト「Dr.WEB」開発元として知られるロシアのセキュリティ企業Doctor Webの調査によって判明した。

 Macユーザーにはウイルスやマルウェアに感染しにくいという“神話”が根強いが、実際は容易に感染するため、早急な対策が必要だ。

 現時点でiWormがどのような行動を実際に起こしたのかは不明だ。ただ、感染したMacに対するさまざまな情報収集能力と、命令を実行する能力を持つことは確認されている。英語圏で人気の掲示板「reddit」を介して命令を受け取ることも判明している。

 感染数が最も多いのは米国で4610件(26.1%)。以下、カナダが1235件(7.0%)、英国が1227件(6.9%)などで、上11カ国で計1万1839件に上り、67%を占めている。日本での感染件数は明らかにされていないが、残りの33%中に含まれている可能性がある。また、これは9月26日時点の調査であり、感染がさらに広がっている可能性もある。

「iWorm」感染数の上位11カ国(Doctor Web公式ブログより画像転載)

 10月2日までに、このマルウェア「iWorm」には少なくとも4種類の亜種が存在するとみられるが、感染源は未だ不明だ。「Mac.OSX.iWorm.B」では「Mac.BackDoor.iWorm.」と命名。また、BitDefenderでは「Mac.OSX.iWorm.A.」「Mac.OSX.iWorm.B」「Mac.OSX.iWorm.C」「Mac.OSX.iWorm.D」、Integoでは「OSX/iWorm」としている。

 iWormの大きな特徴は命令を受け取るその手法にある。通常、ボットネットはコントロールサーバーから命令を受け取るため、当局はサーバーを特定・押収するなどして停止させる。

 iWormはこれを避けるため、掲示板redditから最新サーバーのリスト一覧を取得することで、絶えずコントロールサーバーを隠すようにしている。

 Doctor Webの解析によると、redditの検索機能を利用して、「現在の日付のMD5ハッシュの最初の8バイトの16進数の値」を検索すると、最新のコントロールサーバーのIPアドレスとポート番号のリストを取得できるようにしているという。現在、これに悪用されたMinecraftサーバー関連の掲示板は停止されているようだ。

 これについてセキュリティ研究者のGraham Cluley氏は、redditがiWormの感染を広げているわけではなく、単に感染させたMacボットネットと通信するためのプラットフォームとして利用しているに過ぎず、今後、Twitterなど他のサービスも同様に利用される可能性があることを指摘した。

 iWormに感染しているかどうかは、ウイルス対策ソフトで検査することで確認できる。それ以外の方法としては、MacのFinderの「フォルダへ移動」メニューに「/Library/Application Support/JavaW」と入力し、このフォルダが存在していればiWormに感染しているとみられる。

 これまでMacに関連するマルウェアとして、2012年に60万台以上のMacが「Flashback」ワームに感染して大きな問題となった。

 Macにはウイルス対策ソフトなどのセキュリティソフトは必要ないと考えるユーザーは多い。しかし、Cluley氏は「Macユーザーは、コンピューターセキュリティの脅威に何らかの免疫があるというような考えにだまされてはならない。もし、Apple製コンピューターに保存するあなたのプライバシーとデータに価値があると思うのなら、ウイルス対策製品があなたの武器庫に存在しなければならない」と指摘する。

 その上で、OS Xの最新のセキュリティアップデートを適用すること、また、攻撃の媒介となりやすい、Adobe Reader、Flash、Javaについても最新のアップデートを適用することを忘れないようにしたい。

(青木 大我 taiga@scientist.com)