今回は「OSX_JAHLAV.B」「UNIX_JAHLAV.B」「PERL_JAHLAV.B」「UNIX_DNSCHAN」を取り上げる。個々のユーザーが「つぶやき」を投稿することで、ゆるいつながりを楽しむコミュニケーション・サービス「Twitter(ツイッター)」をご存知だろうか。comScore社の調査によると、2009年6月現在、Twitter の利用者は全世界で4450万人になるなど、爆発的にユーザー数が増加している。不正プログラムの作者は、YouTube、MySpace、Facebookなど注目を集めているサービスを標的にすることはよくある。Twitterも例外ではなく、2009年7月後半、Twitterユーザーの間ではよく知られているコラムニストのアカウントがハッキングされ、不正な「つぶやき」が投稿された。
その「つぶやき」にはリンクが含まれており、アメリカで有名なドラマに出演している女優のアダルトビデオが無料でダウンロードできるというメッセージとともに投稿されていた(図1)。
このビデオテープ自体は、実際に存在し、話題となった時期も一致していたが、リンクは偽物であり、ユーザーがリンクをクリックすると複数の自動リダイレクトが発生する。結果として、アダルトビデオではなく不正プログラムをダウンロードするように誘導されるものだった(図2)。
今回取り上げる事例で特徴的なのは、その攻撃対象がWindowsだけではなくMac OS Xも対象となった点であった。つまり、ユーザーが使用しているOSごとに異なる不正プログラムがダウンロードされるということである。Mac OS XであればOSX_JAHLAV.B、WindowsであればTROJ_JAHLAV.Bがダウンロードされる。
今回は、検証環境用にMac OS Xがインストールされた1台のコンピュータを用意した。続いて、テスト機上でOSX_JAHLAV.Bを実行した(図3)。OSX_JAHLAV.Bのファイル名はActiveXsetup.dmgで、 MAC OS Xのディスクイメージ形式のファイルである。
