Javaの脆弱性を突くMacマルウエア「SabPub」

2012.04.26

　今回は、まずベンダーが注意を呼びかけているマルウエアの話題を取り上げる。一つはロシアのカスペルスキーラボが注意を呼びかけた「Backdoor.OSX.SabPub.a」。先日、米アップルがJavaのセキュリティホールを突くマルウエア「Flashback」の緊急対策パッチをリリースしたが、Backdoor.OSX.SabPub.aもJavaの脆弱性を利用してMacに感染するマルウエアである。

　SabPubは、Mac OS Xを標的にしたバックドアプログラムで、標的型攻撃用として設計されたとみられる。感染したシステム上で起動するとリモートのマルウエア制御（C&C）サイトにつながり、命令を受け取る。そして標的としたユーザーのセッションをスクリーンショットで記録する。

リモートサーバーに接続して命令を取得

　リモートのC＆Cサイト「rt***.onedumb.com」は米カリフォルニア州フリーモントに置かれた仮想専用サーバー（VPS）で運用されている。

エンコードされたC＆Cサイトのアドレス（hostname_en）

　このonedumb.comは無料のダイナミックDNSサービスのドメインで、C＆CサイトのIPアドレス「199.192.152.」は「Luckycat」として知られる標的型攻撃にも使われていた。

　ドロッパーの日付を信じるなら、作成されたのは1カ月以上前の3月16日となる。ドロッパーのJavaクラスはウイルス解析サイト「ThreatExpert」に4月12日に送られ、ドロッパーのコンポーネントの一つもウイルスチェックサイト「Virustotal」に4月2日に送られている。Virustotalにはもう1度送られているが、いずれも中国からだった。

　このブログ公開時点で、SabPubがどのような手法でマシンに感染するかは明らかになっていない。しかし感染数が少数であることは、ターゲットを絞り込んだ攻撃が行われていることを示していると、カスペルスキーラボは指摘する。複数の報告によると、2カ所のWebサイトに誘導するURLを含む電子メールを通じて攻撃が行われているとみられる。2サイトは米国とドイツに設置され、不正コードが仕込まれている。

　3月はチベットの政治活動団体を標的にしたMac OS X向け攻撃が報告されたが、今回のマルウエアはその際に使われていたものとは異なる。しかし、同じ攻撃作戦か、他の類似の攻撃作戦の一部であることは考えられる。

　また、このバックドアプログラムはデバッグ情報とともにコンパイルされていることから、まだ開発段階にあり、完成版ではないとカスペルスキーラボは推測している。

「ZeroAccess」ルートキットに関する技術資料

　次に、英ソフォスがブログに掲載したルートキット型トロイの木馬「ZeroAccess」。感染が広がっているとしてブログで注意を促すとともに、洞察を深めるのに役立ててほしいとして同社の研究部門が作成したZeroAccessに関する技術資料を公開した。

　同技術資料では、ZeroAccessが拡散に使う手口からインストール手順、メモリー常駐やペイロードなどを含め、動作や最終目的について詳細に調べた内容をまとめている。

　ZeroAccessは高度なカーネルモードのルートキットで、いまや最も拡散しているマルウエアの一つといえる。ピアツーピア（PtoP）型のマルウエア制御（C＆C）インフラを持ち、32ビットおよび64ビットのWindowsで動作する。常に更新されて機能が追加され、最新のネットワークやOSへと感染を広げる。

　技術資料はソフォスのサイトから全内容を閲覧できるほか、PDF文書としても入手できる。

FCCと米通信事業者、盗難スマートフォン対策で協力

　最後にスマートフォンセキュリティ関連の新しい動きを一つ紹介しよう。米当局と米大手通信事業者による共同の盗難スマートフォン対策である。米マカフィーがブログで紹介している。米国では携帯電話窃盗は大きな問題の一つで、その件数は増加し続けている。

　技術関連情報サイト「TechNewsWorld」が引用したニューヨーク市警本部長のコメントによると、10年前、携帯電話の窃盗はニューヨーク市における窃盗事件全体の約8％だったが、その割合は40％に拡大しているという。ワシントンD.C.では全窃盗事件の38％を占めるなど、他の大都市でも同様の統計が出ている。

　こうした事態を受け、米連邦通信委員会（FCC）、無線通信事業者、警察当局、および数人の政治家が、スマートフォン窃盗抑止と消費者データ保護に向けた取り組み「PROTECT Initiative」を共同で立ち上げた。盗まれた携帯電話のリストを作成し、盗難デバイスからサービスに再アクセスするのを阻止する。

　マカフィーは、この取り組みが認識向上に一役買うことを期待している。というのも、人々はいまだにモバイルセキュリティの必要性を理解していないと考えているからだ。今後数カ月のうちに、ユーザーを保護するためにどうようなシステムが適しているか、ユーザーが自身を守るために消費者として持つべき責任は何かなどについて、無線コミュニティーでより多くの意見が交わされることだろう。

　とはいえ、それまでの間は、紛失デバイスや盗難携帯電話を犯罪者に悪用されないようにするために、モバイルセキュリティソフトウエアを利用することをマカフィーは勧めている。携帯電話をなくしたり盗まれたりした場合に、リモートで位置を特定したり、デバイスにロックをかけたり、データのバックアップを取ったり、すべてのデータを消去したりといった措置を取ることができるという。