KeRanger(OSX.Keranger)という名前の新しいマルウェアが出現しました。どうやら、Mac OS X を標的にする初のランサムウェアのようです。BitTorrent クライアントソフトウェア「Transmission」のインストーラに感染したバージョンがあり、KeRanger はそこから短時間ながら拡散しました。2016 年 3 月 4 日と 3 月 5 日に Transmission をダウンロードした Mac OS X ユーザーは、感染した危険性があります。
KeRanger は、Mac OS X 向けに設計されてはいるものの、動作は Windows ベースのランサムウェア、具体的には TeslaCrypt(Trojan.Cryptolocker.N)とまったく同じです。インストールされると、KeRanger はおよそ 300 種類のファイルを検索し、見つかりしだい暗号化します。それが終わると身代金のメッセージを表示し、1 ビットコイン(約 408 ドル)を支払うよう要求してきます。支払いには、匿名 Tor ネットワーク上の Web サイトを使うことになっています。
KeRanger には、有効な Mac Developer ID の署名があります。ということは、信頼できない送信元からのソフトウェアを OS X で遮断するはずの Gatekeeper 機能をすり抜けてきた可能性があります。これを受けて、Apple 社は KeRanger で使われている Developer ID を取り消しました。
背景 Apple 製品の人気を考えれば、Mac OS X を狙うランサムウェアが出現するのは時間の問題でした。実際、Mac OS X ユーザーではなく Safari を標的にする悪質な Web サイトは、すでに登場していました。この Web サイトの場合は、JavaScript を使って、閉じられないポップアップが Safari 上で開かれました。そのうえで、不正なコンテンツを表示したのでブラウザは FBI によって「ロックされた」、という通知が表示されます。しかし、直接 Mac OS X を標的にするマルウェアは、今回まで出現していませんでした。
2015 月 11 日には、Mabouia(OSX.Ransomcrypt)という概念実証(PoC)のための脅威が、ブラジルのサイバーセキュリティ研究者 Rafael Salema Marques 氏によって開発され、Mac もランサムウェアの脅威と無縁ではいられないことが確かめられました。Marques 氏からは、このランサムウェアのサンプルがシマンテックと Apple 社に提供されています。それをシマンテックが解析した結果でも、この PoC は機能すると確認されました。犯罪者の手に渡れば、実際に OS X を攻撃できる暗号化ランサムウェアを作れることになりますが、Marques 氏は、このマルウェアを公に広める意図はないと話しています。
潜在的な脅威 KeRanger が、感染したソフトを通じて拡散したのはごく短時間でしたが、Mac ユーザーであれば、安心してはいられないでしょう。KeRanger を悪用する攻撃者は、他の拡散方法を見つけようとする可能性があるからです。しかも、今回の成功に刺激されて、他のグループが Mac OS X を狙うランサムウェアの亜種を作ることも考えられます。
ランサムウェアから身を守るヒント
参考資料 Mac OS X をはじめ、Apple プラットフォームに影響する脅威について詳しく知りたい方は、シマンテックのホワイトペーパー『The Apple Threat Landscape(Apple に対する脅威の実態)』(英語)をお読みください。
保護対策 シマンテックとノートンの製品をお使いであれば、以下の検出定義で KeRanger から保護されています。
ウイルス対策
IPS
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】