Snow Leopardのマルウェア対策を「CoreType.bundle」で知る

　Mac OS Xのアップデートが実施されるとき、ひっそりと更新されるファイルがある。特別にアナウンスされることはなく、存在すらあまり知られていない「XProtect.plist」がそれだ。Snow Leopardでは、/System/Library/CoreServicesディレクトリにある「CoreType.bundle」内部に保管されているため、Finderでブラウジング中に目にすることはなく、ユーザーが直接操作する必要もない。しかし、その役割は重要だ。

　XProtect.plistには、Mac OS Xを対象としたマルウェアのシグネチャが記載されている。Snow Leopardリリース直後の時点でここに定義されているマルウェアは、2種のトロイの木馬に対するもののみだったが、6月リリースのMac OS X 10.6.4では3種に増えている。逆にいうと、このファイルの内容を見れば、Appleが公式に危険だと認め対策を施したマルウェアを確認できることになる。

　マルウェアの有無が確認される対象についても、このバンドル内のファイルで定義されている。拡張子なしの「System」というファイルがそれで、Mac OS X 10.6.4のリリースにあわせ更新された。Safari 5でサポートされた機能拡張書類（*.safariextz）が定義に加えられることで、ダウンロード時にマルウェアをチェックするという仕組みだ（Exception.plistに定義されたアプリ以外は対象外だが）。

　相手がマルウェアであるだけに、どのタイミングでアップデートされるかも重要だ。XProtect.plistとSystemのタイムスタンプを見ると、どちらも4月24日で更新されているが、この日付はHellRTSというトロイの木馬の存在が確認された4月中旬からさほど間がない。セキュリティベンダーのようなクイックレスポンスとはいかないが、まずまずのレベルだろう。

　とはいえど、この更新されたXProtect.plistとSystemを含むCoreTypes.bundleの配布が開始されたのは、約2カ月後の6月中旬。これでは折角の初期対応が生かされず、危険な状態をみすみす見逃したと非難されても仕方ない。Macが安全という神話はもはや通用しないことをあわせると、なんらかのセキュリティツールの導入を強く推奨する次第だ。

CoreTypes.bundle内の「XProtect.plist」をチェックすれば、Appleによるマルウェア対応状況がわかる　※クリックすると拡大します