OS X Lionのマルウェア最新事情

海上忍
2011-11-24 14:21:00
  • このエントリーをはてなブックマークに追加

 あまり知られていないようだが、OS Xには前バージョンのSnow Leopard以来、マルウェア対策機構が装備されている(関連記事)。幸いなことに、OS Xにはマルウェアの標的として選ばれにくかった歴史があり、ユーザーも概してマルウェアへの危機意識が低い。

 楽観的でいられた理由はもうひとつある。OS Xでは、前々バージョンのLeopard以来「サンドボックス化」が進められてきた。ここでいうサンドボックスとは、プロセスがアクセス可能なリソース――ファイルシステムやネットワーク機能など――を制限、管理することにより不正な動作を防ぐというものだ。万が一、悪意のプログラムを実行してしまった場合でも、サンドボックス上で動作していれば、被害は限定的となる。その機構がLionで拡張されたことは、以前こちらの記事で少しだけ触れている。

 このサンドボックス機構は機能が限定的で(日を改めて解説したい)、鉄壁の構えとは言い難い。Mac App Storeで審査を経たアプリケーションといえど、セキュアであるとAppleにより裏書きされたとは言えない。マルウェア対策にしても然り、ユーザーはAppleのアップデータ配布をただ待つしかない。“OS X安全神話”が今後も続くという考えは、あまりに楽観的かつ受動的な幻想だ。

 実際、OS Xのマルウェア定義ファイル「XProtect.plist」の更新頻度が上がりつつある。Lionのリリース後間もない8月には、Flash Playerインストーラに偽装したトロイの木馬「OSX.QHost.WB.A」が発見された。9月にはPDFを偽装したマルウェア「OSX.Revir.A」と、やはりFlash Playerインストーラを装った「OSX.FlashBack.A」が報告されている。11月上旬にも、バックドアとトロイの木馬としての顔を持つ新種「OSX.DevilRobber.A」の存在が明らかになったばかりだ。

 いずれのマルウェアも、本稿執筆時点では「XProtect.plist」の更新により対策済みだが、Snow Leopardの頃に比べ出現頻度が高まっていることは確か。以前に比べると、マルウェアの存在報告からアップデータ配布までの間隔は短縮されているようだが……少なくとも我々ユーザーは、より「意識」しなければならないはずだ。


/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plistを開けば、最新のマルウェア定義がわかる
  • 新着記事
  • 特集
  • ブログ
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]