Mac安全説を揺るがすほどの猛威を振るっているマルウェア「Flashback」。感染台数は70万台とも推定されているが、背後にはGoogleの広告クリック報酬を乗っ取るという金銭目的が大きいと米Symanteが分析している。得られる報酬は1日1万ドルと同社は弾きだしている。

FlashbackはJava SEの脆弱性を悪用するトロイの木馬で、米Adobe Systemsの「Flash」のアップデートと見せかけて悪意あるプログラムを仕込む。Javaの開発元である米Oracleは2012年2月にパッチを公開したが、Appleのパッチは6週間後と時差が生じたため、感染が拡大した。

4月初め、ロシアのセキュリティ企業のDr.Webは推定の感染台数を60万台と発表していたが、その後、Kaspersky Labが推定感染台数を70万台に増やしている。

Symantecは、Flashback(「OSX.Flashback.K」)の各コンポーネントをリバースエンジニアリングすることで、仕組みや動機を分析した。それによると、Flashbackは感染したコンピュータに広告クリック処理コンポーネントをダウンロードさせ、Google検索エンジンへのクエリーを傍受して攻撃者が選んだページにリダイレクトする。これにより、本来ならGoogleが得るはずのクリック報酬を自分たちが受け取るという。Symantecは、分析したコードから、クリック報酬が0.8セントであることがわかったと報告している。

こうした広告クリック型マルウェアは新しいものではないが、Flashbackはその感染規模から、攻撃者が得ることができる収益は1日1万ドルを超えるだろうとSymantecは予想している。