Mac 用ランサムウェアの存在を示す証拠が新たに発見される

2017.07.10

本記事の執筆に協力してくれた Anna Szalay (SophosLabs)、Xinran Wu (SophosLabs)、Paul Ducklin (Naked Security)
に感謝します。


Windows を標的とするマルウェアに比べれば Mac 用のマルウェアは少ないですが、Apple がマルウェアの影響を受けない訳ではありません。


SophosLabs による 2017年 マルウェア予測レポートにおいても、データを盗み出し、不正なリモートアクセスを可能にし、ファイルを人質にして身代金を要求することを目的とした Mac 用マルウェアについての説明しています。


その他にも、OSX/Filecode-K や OSX/Filecode-L などの Mac 用ランサムウェアが存在しています。


そして今回、新たな Mac 用ランサムウェアが確認され、SophosLabs ではこれを OSX/Ransom-A として特定しました。Mac 用 RaaS (ランサムウェアとしてのサービス) の一例として報告が上げられているこのランサムウェアは、MacRansom と呼ばれています。


仕組み


このランサムウェアは実環境では確認されていません。サンプルを希望される方は、セキュアな ProtonMai のl電子メールアドレスを使用してサンプル作成者に問い合わせる必要があります(リンク先:英語)。SophosLabs がサンプルを入手し調査した結果、以下のことが分かりました。


OSX/Ransom-A マルウェアアプリケーションを初めて実行するときは、パスワードを要求する明らかに不審なポップアップは表示されません。このマルウェアは、システム全体のプログラムとしてではなく、ユーザー自身のアカウントで動作するように密かにインストールされます。


OSX/Ransom-A は、~/Library/.FS_Storage というサブディレクトリに自分のコピーを作成して、姿を隠します (ディレクトリ名 ~/ は、「ユーザー自身のホームフォルダ」を意味する UNIX の省略表現です (例: /Users/yourname/))。


Library は、macOS があらゆる種類の設定ファイルを数十か所のサブディレクトリに格納するために正式に使用するディレクトリです。そのため、マルウェアが何食わぬ顔で存在するのに最適な場所でもあります。


UNIX ベースの macOS では、ドット (.) で始まるファイルやディレクトリはデフォルトではディレクトリリストや Mac Finder に表示されないため、マルウェアが隠れている不正なディレクトリ .FS_Storage の存在に気付かない可能性があります。


たとえこのディレクトリに気付いたとしても、.FS_Storage という名前は正規のもののように見えます。この名前が付けられているのは、正規の macOS ファイル名である .DS_Store に似ているためです。


アクティベートされた OSX/Ransom-A は、ファイルを暗号化した後、復元に必要な復号鍵をユーザーに売るというランサムウェアのお決まりのパターンを実行します。



このマルウェアは、特別なディレクトリである /Volumes から暗号化を開始します。これは、Time Machine バックアップディスク、USB メモリ、その他のリムーバブルドライブなど、現在接続されているすべてのハードディスクが表示されるディレクトリです。


つまり、バックアップディスクが常にオンラインになるように接続したままにしている場合、それらのディスクはランサムウェアなどのマルウェアに対して無防備な状態です。万が一の事態に備えて、最新のバックアップコピーを少なくともオフラインの場所に保存し、さらにオフサイトにも保存することをソフォスは推奨しています。


今後の展望と対策


MacRansom は、攻撃者が今後さまざまなマルウェアを使用して Mac ユーザーを標的にしようとしている証拠です。


意識向上の活動として取り組む必要があります。


その一環として、ソフォスは以下のリソースを提供しています。


引用元

おすすめの記事はこちら