OSX.Flashback が初めて出現したのは 2011 年遅くのことでした。当初はソーシャルエンジニアリング詐欺として控えめに登場しましたが、Apple から発行されたと称するデジタル証明書を利用し、Flash Player の更新ファイルに偽装しようとする手口によって、その後は急激に被害を広げました。現在の Flashback は、Java の最新の脆弱性(BID 52161、Oracle Java SE のリモートランタイム環境に存在するサービス拒否の脆弱性)を利用して、そのペイロードを拡散しています。この最新の攻撃は、マルウェアの大規模な拡散を狙う犯罪者が、パッチ修正されていない脆弱性をいかに悪用できるかということを端的に証明する結果となりました。
マルウェアの作成者は、しばらく前から Mac OS を標的としてきましたが、今回の OSX.Flashback.K は、これまで Windows オペレーティングシステムを狙うマルウェアが圧倒的に優勢だった脅威の世界に、きわめて大きな変化が訪れたことを示しています。Mac を狙う従来のトロイの木馬と一線を画しているのは、感染した Mac コンピュータの膨大な台数に上っていることです。Dr. Web の報告によると、当初は OSXFlashback.K の感染は推定で 550,000 台前後にまで達するとされていました。
この数はその後大幅に少なくなり、シマンテックのシンクホールデータからは、過去 24 時間にこの脅威に感染したコンピュータの台数は 380,000 台少ない 270,000 台程度と推定されます。今後数週間は、この感染数を慎重に見守っていく予定です。現時点での Flashback の拡散状況は以下の分布図のようになっており、北米、オーストラリア、英国で感染の密度が特に高いことがわかります。
以下に示す数値は、Flashback による感染が確認された上位 10 カ国と、全感染数に対する比率です。
OSX.Flashback.K は、ドメイン名ジェネレータ(DNG)のアルゴリズムを利用しているので、コマンド & コントロール(C&C)サーバーに接続するために毎日新しいドメインを生成することができます。今後数日間のドメインは、以下の図のようになるでしょう。これらのドメインは現在、シマンテックセキュリティレスポンスによってシンクホール処理されているため、1 週間にわたる感染の規模について統計データを収集できるようになっており、実質的に Flashback が C&C サーバーに接続してさらに指示を受信することはできません。
また、OSX.Flashback.K の亜種で使われている個別の IP アドレスも多数判明しています。
".com" ドメインは、3 月 26 日と 4 月 4 日に登録されており、どちらの日付も Flashback による最近の攻撃の準備期間に該当します。これらの IP アドレスにマルウェア自体(CVE-2012-0507)がホストされており、それが OSX.Flashback.K をインストールして追加のペイロードを提供し、Flashback Trojan からサーバーに送信される統計データを記録します。これらの IP アドレスから、OSX.Flashback.K 関連の悪質なコンテンツは現在はもう拡散されていませんが、Flashback の攻撃者集団が再度拡散に利用する場合に備えて、シマンテックは厳重な監視を続けています。
先週になって Apple から、OS X v10.7 と Mac OS X v10.6 が動作しているシステムに対して、Java のセキュリティ上の欠陥を修正するパッチが公開されました。それ以前のシステム(v10.5 以前)については脆弱性が残っているため、Apple は、感染を防ぐために Java を無効にすることを公式に推奨しています。アップグレードがまだ完了していない場合にはソフトウェアアップデートを開始すること、または OS がこの攻撃に対して脆弱な場合には Apple から手動で更新をダウンロードすることをお勧めします。
更新 (2012 年 4 月 12 日) シマンテックセキュリティレスポンスは、OSX.Flashback.K の削除ツール(英語版)を開発しました。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。