2015年8月現在、OS X の最新バージョンYosemite 10.10.4 の0-day脆弱性を攻撃するアドウェアが確認されています。
早急にApple社が提供するアップデート(Yosemite 10.10.5以降)を適用してください。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。
AppleのOS X Yosemiteの最新版に、パスワードや管理者特権なしにマルウェアやアドウェアをインストールできてしまう、深刻な0-day脆弱性が確認されました。
8月3日、Malwarebytesは“7月にSektionEins’ Stefan Esser氏が確認した脆弱性“を攻撃するエクスプロイトコードをはじめて確認したと伝えました。
Malwarebytesの研究者であるAdam Thomas氏はOS X上で悪意のあるインストーラの存在をつきとめました。不思議なことに、sudoersファイルが許可なしに書きかえられていました。
「sudoersファイルとは、UNIXシェルでどのユーザーがroot権限を持つかを決めるための隠しファイルです」とMalwarebytesのWEBサイトでは補足しています。
さらに「今回の例ではsudoersファイルが書きかえられたことによって、UNIXシェル上でパスワードを求められることなしに、root権限を取得できました」とも伝えています。
「DYLD_PRINT_TO_FILE」と呼ばれるこのエクスプロイトコードによって、攻撃者は隠れて対象のMac(OS X)にVSearchのようなアドウェアやMacKeeperのようなジャンクウェア(望ましくないソフトウェア)をインストールすることができます。
Esser氏によると、この0-day脆弱性はOS Xの最新版10.10.4および最新ベータ版の10.10.5においても確認されています。
興味深いことに、この脆弱性はOS Xの次期バージョンであるEl Capitanの最新ベータ版には存在しません。また、この問題についてApple社は今のところ公式にコメントしていません。
「ESET社でもこの脆弱性を攻撃するプログラムをいくつか確認しており、それらはOSX/Adware.VSearch.Fと定義されています」とESETのセキュリティ研究者かつWeLiveSecurity.comの主任編集者であるRaphael Labaca Castro氏はコメントしています。
そして「この定義ファイルが作成されたのは2014年12月ですが、今後現れるかもしれない新たな脅威に備え、セキュリティを最新の状態に保ってください。また、OSのアップデートが公開され次第、適用してください」と締めくくっています。
このアドウェアは、ESET製品にて以下の通り検出されます。
■ 対応しているウイルス定義データベースと検出名
2014年12月16日(日本時間)以降に配信されたウイルス定義データベースにて、下記の検出名で定義されました。
ウイルス定義データベース:11296 (20150310)
OSX/Adware.VSearch.F アドウェア
OSX/Adware.VSearch.Fの亜種 アドウェア
※ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。
※今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。
■ 常日頃からリスク軽減するための対策について
各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。
1. ESET製品プログラムのウイルス定義データベースを最新にアップデートする
最新の脅威に対応できるよう、ウイルス定義データベースを最新にアップデートしてください。
2. OSのアップデートを行い、セキュリティパッチを適用する
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。
3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する
各種アプリのアップデートを行い、脆弱性を解消してください。
4. データのバックアップを行っておく
5. 脅威が存在することを知る
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。
