「PDFだと思ったらマルウェア」 “Mac安全神話”を崩す奇策

「PDFだと思ったらマルウェア」　“Mac安全神話”を崩す奇策　という記事を見つけました

　ファイル名の一部を、通常とは逆の右から左へ表示する――。そんな手法を使ったMacマルウェアをセキュリティ研究者が発見した。このようなマルウェアは、どうすれば検出できるのだろうか。

　「OSX/Janicab.A」と命名されたこのMacマルウェアは、ファイル名の文字順番を変えることでユーザーをだまし、PDFファイルに見せかけた悪質なアプリケーションを実行させる仕組みになっている。こうした手法は、Windowsマルウェアでも採用されてきた。

　マルウェアのコードがどんなものであれ、これまでと同じツールで新種のマルウェアの多くも検出できることを知っておくことは重要だ。ただし、攻撃者が高度な攻撃を仕掛ける場合には、セキュリティ検出ツールから身を隠す高度なマルウェアを利用するかもしれない。その場合、攻撃対象の企業がどのセキュリティツールを使っているか、攻撃をどう防ぐかを攻撃者が知っている可能性がある。

　OSX/Janicab.Aの場合、その開発者の意図は、Mac OS Xのセキュリティ機能である「Gatekeeper」をかわすことにある。Gatekeeperは、アプリケーションに有効なデジタル証明書を使った署名があるかどうかをチェックしており、アプリケーションに署名がなければエラー警告を表示する。

　マルウェア開発者は、過去にWindowsのマルウェア対策ツールによる検出をかわすことに成功してきた実績を基に、Mac OS Xに対しても同じツールや手口を使い始めている。過去の例では、LinuxやUNIXシステムに対する攻撃でさえも、ユーザーが起動した時点で簡単には見つけられないディレクトリや実行可能ファイルを作成しようとしていた。例えばファイル名に大量のスペースを入れるなど、ファイル名に代替の記号などを使うことにより、攻撃を見えにくくする仕組みを実装して成功率を上げてきた。

　OSX/Janicab.Aなどのマルウェアを検出するためには、自社で標準としていない文字セットや言語設定もチェックして、失効したApple IDのソフトウェア署名証明書をモニターする。その上で、標準的なマルウェア対策ツールを導入し、行動パターンで異常を検出する「ビヘイビア技術」を活用することだ。標準的ではない命名方式のファイル名をスキャンして、異常が見つかれば調査するといった対策も効果がある。

　いままでＭＡＣは数が少なかったので、わざわざマルウェイを開発する人がいなかったが、どういう事かな