Macでマルウェア感染を引き起こすEXEファイル

2019年4月12日

過去にも紹介したように、「macOSには脆弱性がない」というのは神話です。サイバー犯罪者たちは、macOSに組み込まれた防御メカニズムを密かに回避する新たな方法を発見しました。彼らは、普通はWindows上でしか実行されないファイル(.exeファイル)(英語記事)を使用して、感染したシステムに関するデータを収集し、このデータをアドウェアにフィードしていたのです。Mac利用者に害を及ぼすEXEファイルとは奇妙な話ですが、この手段は有効でした。 

EXEマルウェアがバンドルされた海賊版ファイアウォール

皮肉なことに、このマルウェアが組み込まれていたのはセキュリティ製品、Little SnitchというMac向けファイアウォールアプリの海賊版でした。ライセンス料金を節約しようとした人たちは、その代わりに困ったものを手に入れてしまったのです。

マルウェアが組み込まれたファイアウォールアプリは、トレントサイトを使って配布されました。ここからダウンロードされるのはDMG形式のディスクイメージの入ったZIPアーカイブで、そこまでは特に怪しいところはありません。しかし、このDMGファイルの内容をよく見てみると、[MonoBundle]というフォルダーが存在し、その中にinstaller.exeが入っています。EXE形式のファイルはMacマシンでは実行しないので、これは普通のmacOS用のファイルではありません。

見て見ぬふりをするGatekeeper

それどころか、Windowsの実行ファイルはmacOSに対応していないので、Gatekeeper(macOSのセキュリティ機能で、不審なプログラムの実行を阻止する)はEXEファイルを単純に無視します。それも当然で、明らかに動作しないファイルをスキャンして、システムに過剰な負荷をかける意味はありません。特に、動作速度の速さはAppleのセールスポイントの1つです。

残念ながら、ここで「しかし」なのです。Windowsで利用できるプログラムは数多く、Macの利用者もそういったプログラムが必要な場合があります。そのようなときのために、そのプラットフォーム向けではないファイルを実行するためのさまざまなソリューションが存在します。その1つが、macOSを含む他のOS上でWindowsアプリケーションを実行できるようにする無料システム、Monoフレームワークです。

お察しのとおり、サイバー犯罪者はこのフレームワークを悪用したのでした。一般にフレームワークはコンピューターに単独でインストールする必要がありますが、この犯罪者たちは、マルウェアと共にパッケージ化する方法を編み出しました(MonoBundleフォルダーに実行ファイルが入っていたのを思い出してください)。こうして、Macの持ち主はネイティブプログラムしか使っていなかったのに、macOS上でマルウェアが実行されたというわけです。

スパイウェアとアドウェア

インストールされたマルウェアは、まず、感染したコンピューターに関する情報を収集します。対象となる情報は、機種名、デバイスID、プロセッサーの仕様、RAMなどさまざまです。マルウェアはさらにコンピューターにインストールされているアプリに関する情報も集め、これらを指令サーバーに送ります。

同時に、感染したコンピューターへさらに複数のイメージがダウンロードされます。これらはAdobe Flash Media Player、またはLittle Snitchを装ったインストーラーで、その正体は、バナーをしつこく表示して利用者を悩ませる、よくあるアドウェアツールです。

対策は

情報テクノロジーの世界には、絶対に安全なシステムなどありません。また、マシンに組み込まれている保護機能を素直に信じることもできません。たとえ、それが信用できると言われているものであってもです。たちの悪いマルウェアからコンピューターを守るには、以下を参考にしてください。

  • 海賊版アプリをインストールしないでください。本当に必要だけれども、そのための費用をどうしても都合できない場合には、まずは無料で利用できるアプリを探してみましょう。
  • アプリのダウンロードは必ず、App Storeや開発元のWebサイトなどの公式サイトから行いましょう。
  • トレントトラッカーのような非公式サイトからアプリをダウンロードすることにした場合には、実際に何がダウンロードされたのかを必ず確認してください。インストールパッケージに入っている「おまけの」ファイルには十分な警戒が必要です。
  • 信頼できるセキュリティ製品を使用しましょう。疑わしいファイルをすべてスキャンしてくれます。