この記事は、2020年1月31日に投稿されたMac Security Blogの記事の翻訳です。
https://www.intego.com/mac-security-blog/author/joshlong/
Ars Technica氏やWIREDなどでも取り上げられた最近の報告によれば、2018年の2月にIntegoが最初に発見したOSX/Shlayerは10台に1台のMacが感染しており、出回っているマルウェアでは未だに最も感染率が高いそうです。
IntegoではVirusBarrier X9のユーザによる感染率の統計情報を管理していませんが、そのマルウェア研究チームによれば、Google検索結果のランキング上位、ブラウザ内の詐欺広告および偽の警告、マルウェアの拡散者による期限切れドメインの購入の状況を調べた結果から考えて、Shlayerの感染はもっと広範囲にわたる可能性があるということです。
では、Shlayerマルウェアとはどんなものなのでしょうか? 多くの場合、偽のAdobe Flash Playerインストーラとしてばら撒かれます。この事実には、いくつかの興味深い点があります。
マルウェアは、なぜ未だにFlash Playerに偽装するのでしょうか?
偽のFlash Playerインストーラは、目新しいものではありません。Integoは2011年9月に今では有名なOSX/Flashback Trojanの最初の亜種を発見しました。このトロイの木馬は、2012年4月までに60万台のMacに感染し、2014年1月の時点でも少なくとも2万2千台のMacが感染したままだと報告されています。
そう思うと、偽のFlash Playerインストーラがトロイの木馬として未だに有効なのはちょっと驚きです。誰もが10年前の経験から学び、Flashのアップデートに対して注意深くなっているはずなのですから。
さらに言えば、Flashを使っている人はもうあまりいないはずでしょう? Adobe自身が2020年12月31日ですべてのFlash Playerのアップデートを終了すると2017年7月に発表しており、Flashコンテンツに依存していた多くのサイトはすでにHTML5や他のマルチメディ技術に移行しています。
もっと言えば、多くのウェブブラウザがFlash Playerへの対応をやめたか、完全に非対応になっています。Mac用のSafariも次のバージョンで対応を終了する予定です(ちなみにiOS用のSafariはFlashに対応したことがありません。人によっては、Appleの共同創設者でCEOの故Steve Jobs氏が2010年4月にFlashに対する考えを表明したエッセイを思い出すでしょう。振り返ってみれば、彼のFlashに対する強硬な姿勢が、その終焉の一つの原因になったのかもしれません)。
こうした事実にも関わらず、今日Macに対して最も流行するマルウェアは「Flash Playerをアップデート」するという罠で成功し続けているのです。こんなやり方がなぜ今も通用するのでしょうか?
染み付いた習慣はなかなか変えられない
前出のThoughts on FlashでJobs氏が指摘したように、Appleが何年間も問題解決のためにAdobeと協力してきたにも関わらず、このソフトウェアが「2009年で最低のセキュリティ記録の一つ」を持ち、「Macがクラッシュする最大の原因」なのです。
一時期は、このソフトウェアで(またもや)見つかった致命的なゼロデイ脆弱性に対応し、マルウェアの拡散を防ぐために急いでプログラムをパッチしなければならず、Adboeが1ヶ月の間に複数の新しいFlash Playerのアップデートを公開するのが珍しくなかったことを個人的に思い出します。
このように頻繁なアップデートが繰り返され過ぎたたことが、現在もユーザが偽のFlash Playerアップデートの通知が表示されるたびに喜んで適用する理由なのではないかと考えたりします。染み付いた習慣はなかなか変えられないということなのでしょう。
また、技術的な側面に疎い人々は、もうFlashに使い道がないか、必要がないということを知らないのではないかと推測しています。いうまでもなく、今年の終盤に予定されているアップデートが最後なのですから、それが本物であろうと、もうFlash Playerには触れない方が良いのです。
どうやって偽のFlash Playerに対処したら良いのでしょうか?
Flashを偽装するトロイの木馬の拡散を防止するには、誰もが次の情報を理解している必要があります:
・Flashは終了しました。インストールし続ける特別な理由はありません。インストールを促すメッセージが表示されたら、無視してください。もう必要ないのですから、詐欺だと判断するのが得策です。
・Flashは終了しました。ほとんどの人にとってウェブブラウザ用の古いFlash Playerプラグインもすでにインストールされていないはずですから、インストールを促すメッセージが表示されたら、無視してください。詐欺だと判断してください。
自分のウェブブラウザに古いFlash Playerプラグインがインストールされていると思う場合は、除去してください:
・Macでは、Adobe公式のMac用Flash Playerアンインストーラをこのリンクからダウンロードし、実行してください(検索サイトでアンインストーラを検索するとマルウェアへ誘導される可能性があるので、検索してはいけません)。
・Windowsを使っている場合は、ここをクリックしてインストールされているアプリケーションの一覧を表示し、Adobe Flash Playerを探してアンインストールをクリックしてください。
未だにFlashを使用していることがわかっているサイトを使い続ける必要がある場合は、次の点に注意してください:
・自動でアップデートされるFlashを内蔵しているウェブブラウザでサイトを利用してください(当然ですが、Chromeに限らず全てのブラウザが2020年中にFlash Playerの内蔵を終了します)。
・サイトの所有者に連絡し、可能であればFlashから他の技術へ移行するようにお願いしてください。2020年12月31日でFlash Playerのセキュリティアップデートが提供されなくなりますから、以降はそのサイトを安全に利用することができないことを理解してもらってください。
使っているMacがShlayerに感染しているか、どうやったらわかるのでしょうか?
IntegoのMac用セキュリティ製品、Mac Premium Bundle X9あるいはMac Internet Security X9の無料のデモ版をダウンロードし、リアルタイムスキャンを有効にするとともに、お使いのコンピュータをスキャンすればOSX/Shlayerや他のMacを狙う既知のすべてのマルウェアから保護されます。
とにかくMacを一度スキャンして確認したいだけなら、Mac App StoreからVirusBarrier Scannerを入手してスキャンしてください。
この記事を知り合いと共有してください
もちろん、いずれは騙されて偽のFlash Playerをインストールする人も減って、マルウェアの開発者は他のトロイの木馬を拡散させようとするでしょう。しかし、少なくとも現時点では、この記事を共有することで家族、友人、あるいは同僚が偽のFlashインストーラあるいはアップデートを使ったトロイの木馬に感染することを防ぐことができます。
この記事へのリンクをFacebookやTwitterに投稿したり、この記事の内容が意味を持ちそうな人に直接送付したり、このような内容を拡散してくれそうな影響力のある人に教えてあげてください。
- 以上 -