著者プロフィール前田 典彦(まえだ のりひこ)
マルウェアを中心としたインターネット上のさまざまな脅威解析調査の結果をもとにし、講演や執筆活動を中心とした情報セキュリティ普及啓発活動に従事。
カスペルスキー 情報セキュリティラボ チーフセキュリティ
エヴァンゲリスト
10年、20年とパソコンを使用したり、ITに関わったりしていれば(もしかするとそれ以外の方々でも)、「Macは風邪をひかない」という趣旨のテレビコマーシャルがずいぶん前に放映されていたことを記憶されているのではないでしょうか。
このフレーズは、MacOSがWindowsと違って「ウイルス、マルウェアに感染しない」あるいは「感染しにくい」ということを擬人的に表現していることは明白ですが、今となっては(実は、当時からなのですが)詭弁です。MacOSに影響を与えるマルウェアは意外と古くから存在します。
ただ、詭弁という強い表現で断言すると、少々乱暴かもしれない部分もあります。2016年初頭において、新しいマルウェアが発生するペースは、24時間で31万個を超えており、1秒間に3個以上という莫大な数です(Kaspersky Labの調査集計結果)。しかし、その大部分はWindowsに影響を与えるものであるという傾向は、以前からずっと変わっていません。
同時期にKaspersky Labが行ったOSごとのマルウェア数の集計では、Windows向けのマルウェアが3億2000万個を超えているのに対し、MacOS向けのマルウェアは約4.1万個ですので、数の上ではその差は歴然としています。また、MacOSよりも登場が遅いAndroid向けのマルウェアは、同時点で約1600万個登録されていますので、MacOS向けマルウェアの増加ペースが急激でないことがわかります。
数が少なければ危険ではないのか?
では、数が少なく、増加ペースも緩慢であることが、MacOSは安全であるということにつながるかを考察してみます。
一般的に考えると、絶対数・発生数ともに少ないものに遭遇する確率は低くなります。宇宙空間から地球に接近する隕石は、実は少なくないそうですが、大部分は地表に到達する前に燃え尽きてしまいます。また、地球の表面は約7割が海で覆われており、残り約3割の陸地のうち、人間が居住・活動する面積も限られていますので、隕石の地表落下を目の当たりにすることはほとんどありません。ただ、これと同じようなことがMacOSのマルウェアに言えるのかというと、話は別です。
マルウェアは、人間(攻撃者)が作って配布するコンピュータプログラムであり、データです。よって、例に挙げた隕石のような自然現象と異なり、攻撃者の意図を十分に考慮する必要があります。対象を絞った攻撃の場合、攻撃者は相手が使用するシステム、ネットワーク、OSなどを入念に調査することから攻撃は始まります。
一方で、ボットネット構築などを目的として影響範囲を広くしたい攻撃者は、多くの端末に対して攻撃を仕掛けますが、仮にOSによってセキュリティ対策の浸透度合いが異なるのであれば、対策が甘いほうを狙えば効率的です。攻撃に悪用しようとするセキュリティホールをMacOSに発見すれば、WindowsではなくMacOSを狙うでしょう。
いずれにしても、対策が甘い攻撃対象は、攻撃者のわなにかかりやすくなります。したがって、数が少ないからと言って、マルウェアへの対策は不要、セキュリティホールもふさがなくても大丈夫、ということにはなりません。
Mac OSもAPTの攻撃対象
Kaspersky Labが運用している「Targeted Cyberattack Logbook」では、APT(高度で洗練された攻撃)あるいはTargeted Attack(標的型攻撃)として認識できる攻撃を可視化して公開しています。
このページでは、発生時期・攻撃継続期間・マルウェア感染端末数の規模・攻撃対象の地理的分布・使用言語なども調べることができます。ここで、MacOS Xが攻撃対象OSとして含まれている攻撃は、今のところ7つ確認できます。もし、APTや標的型攻撃は特別なもので、MacOSはほぼ該当しないという印象をお持ちの方がいれば、すぐにその考えを捨てていただく必要があります。
攻撃規模も大小さまざまです。大規模なものだと、10万端末以上に影響を与え、現在も活動継続中の「Adwind」と呼ばれる攻撃にMacOSが含まれています。また、日本も攻撃対象に含まれる「Icefog」「FinSpy」の攻撃対象にもMacOSが含まれています。
MacOSを狙うボットネット「Flashfake(Flashback)」
次に、広範囲に攻撃を仕掛ける例として、ボットネットを取り上げます。MacOSを攻撃対象とするボットネットは過去にいくつか発見されています。その中でも最大規模だったものが、2011年から2012年にかけて流行した「Flashfake(別名Flashback)」です。実に約70万台ものMacOS端末が感染していたとされる大規模なボットネットでした。
当初のFlashfakeは、Adobe Flash Playerのアップデートを偽装する形でマルウェアをインストールさせて感染させる手法を用いたことから、このような名称で呼ばれるようになりました。多くの人が必要性を理解し、義務にもなっているパッチを偽装したこの攻撃は、人間の心理的な隙を巧妙に突く、いわゆるソーシャルエンジニアリング(ソーシャルハッキング)の典型例と言えるでしょう。
Flashfakeはその後、JavaやAdobe Flashに実際に存在したセキュリティホールを突く形に感染手法を進化させます。数種類が確認されていたセキュリティホールの中には、MacOSユーザーにとってはセキュリティ修正プログラムが配布されていないもの(ゼロデイ)が含まれていたこともあり、ここでも多くの被害端末を出すことになってしまいます。
ソーシャルエンジニアリングにせよ、脆弱性を突く攻撃にせよ、手法としてはWindowsのマルウェアでは頻繁に用いられるものですが、これらはMacOSにも例外なく降りかかってくることを如実に示す例です。
ノートパソコンの内蔵カメラにも用心を
最近のノート型端末には、Windows、MacOSを問わず、カメラとマイクが内蔵されています。ビデオチャットやテレビ会議をする機会があると、とても重宝します。
しかし、マルウェアの中には、ユーザーの意思とは関係なく、勝手にカメラやマイクを有効にするものがあります。多くの場合、感染後、攻撃者によってインターネット経由で遠隔地から操作されることで被害を受けることになります。同様のマルウェアは、Windows用やAndroid用のものが数年前から報告されていましたが、MacOS上で動作が可能なものも最近発見されています。これも、MacOSは例外という考えは通用しない例と言ってよいでしょう。
カメラに関しては、普段使わないのであればシールを貼って物理的にふさいでおくという手があります。使う可能性がある人は、脱着可能なタイプのシールを使用するのも有効な対策の1つでしょう。
ウイルス対策ソフトの中には、内蔵カメラやマイクが有効になる際にそれを画面上に表示してユーザーに知らせる機能を備えるものがあります。ユーザーがビデオチャットなどを始める時ではないのに、このお知らせが出たとすれば、マルウェアによる動作である可能性があります。できればシールを貼りたくないという人や、シールに加えて万全を期したいという人にはお勧めの機能です。
そして、去年から今年にかけて、日本を含む世界中で多数の被害が報告されているランサムウェア(詳細は本連載第6回を参照ください)にも、MacOS向けのものが発見されています。
これらの例から一貫して言えることは、MacOSもWindowsやAndroidと同様にマルウェアによる攻撃対象であることです。ただ、MacOS特有の攻撃手法が横行しているというわけではない点に着目すれば、MacOSのセキュリティ対策の基本となるものは、WindowsやAndroidと変わらないと言えます。つまり、セキュリティホールをふさぐ修正プログラムを実施し、ウイルス対策ソフトをはじめとするセキュリティ対策を導入し、それらを常に最新にすることです。