セキュリティ組織の米サンズ・インスティチュートは2008年4月30日、Mac OS Xに感染する新たなウイルス(悪質なプログラム)を確認したとして注意を呼びかけた。ウイルスの動作は、2007年9月以降に出現したウイルスと全く同じだが、ウイルス対策ソフトに検出されにくいように、プログラムコードが改変(難読化)されているという。
Mac OSで動作するウイルスは10年以上前から確認されているが、ほとんどは実験的に作られたもので、ユーザーに被害を与えることは目的としていない。ところが2007年9月以降、ユーザーに金銭的被害を与えるような、悪質な挙動をする「Macウイルス」が相次いで出現している。
具体的には、パソコンのDNS設定を、攻撃者のDNSサーバーを参照するように変更する。これにより、ユーザーは気付かないうちに悪質なWebサイト(フィッシング詐欺サイトなど)に誘導されて、個人情報などを盗まれる恐れがある。
サンズのスタッフによると、2008年4月30日、あるユーザーから新しいMacウイルスのサンプル(検体)が送られてきたという。同スタッフが解析したところ、プログラムコードは今までに見つかったウイルスとは異なるものの、実行させた際の挙動は全く同じ。以前に出現したウイルスのプログラムを、あるルールで改変しただけのものだという。実行時には、改変前の状態に戻されるため、ウイルスは“問題なく”動作する。
改変の目的は、ウイルス対策ソフトを回避するため。プログラムコードの中身を調べてウイルスかどうかを判断する「シグネチャーベース」の対策ソフトでは、コードを改変されると、同じ動作をするウイルスであっても検出できなくなる場合がある。このように、検出や解析を困難にするためにコードを改変することを「難読化」などと呼ぶ。
実際、32種類の対策ソフトでチェックできるWebサイト「VirusTotal」で調べたところ、難読化される前のウイルスは10種類の対策ソフトで検出できたが、今回のウイルスは2種類の対策ソフトしか検出しなかったという。
難読化は、最近のウイルス作者の常とう手段。Windowsで動作するウイルスについては、難読化されても検出できるように、対策ソフトメーカー各社は工夫を凝らしている。しかしながら、Macウイルスに対しては後手に回っているようだ。サンズのスタッフは、ウイルス対策ソフトメーカーは「Macウイルス対策」を強化すべきだろうとコメントしている。
