「感染はおさまってない」衝撃の報告、Mac狙うウイルス、なお65万台前後に猛威、Dr.Web

米AppleのMacintosh(Mac)パソコンで猛威を振るった「Flashback(フラッシュバック)」ウイルス。駆除ツールの無償配布により収束に向かっているとの予測が主流だったが、最初期にこのウイルスを警告したロシアのセキュリティソフト開発会社Doctor Webは、楽観論を否定し、今なお65万台のMacに感染していると報告した。

Flashbackは、米Oracleの「Java」アプリケーション実行環境の脆弱(ぜいじゃく)性を突き、そのセキュリティ更新を済ませていないMacパソコンに感染。犯罪者が自由に操作できる「ボットネット」の一部にしてしまう。被害を受けたMacは一時67万台以上に達したが、Appleやセキュリティソフト大手が駆除ツールを公開し、米Symantec(シマンテック)などによると14万台程度まで減少(関連記事)。ロシアKaspersky Lab(カスペルスキー)も減少を報告し、間もなく収束するというのが大方の見方だった。

しかしDoctor Webの報告は、こうした他社の報告と大きく食い違う。Flashbackによってなお合計81万7879台のパソコンがボットネットの一部と化し、平均55万台がボットネットの制御サーバーと24時間やり取りを行っている。ボットネットは2012年4月16日時点で、71万7004件のIPアドレスと59万5816件のMac UUIDを登録しており、17日にはIPアドレスが71万4483件、Mac UUIDが58万2405件となっている。さらに日々新たなパソコンがボットネットに加っている。

他社の報告と食い違がある理由はこうだ。Doctor Webなどは、ボットネットの制御サーバーのふりをした「おとり」のサーバーを設置して、感染したパソコンと通信し、感染が何台に広がっているか調べていた。

ところが、おとりサーバーとの通信の後、感染したパソコンは正体不明の第三者のサーバーと通信を始め、おとりサーバーとの通信に応じなくなってしまった。

SymantecやKasperskyは、感染したパソコンがおとりサーバーと通信しなくなった理由を、ウイルスの駆除が済んだためと判断したが、実際には正体不明のサーバーが返事をさせないよう横やりを入れただけ、というわけだ。

Doctor Webは、Flashbackの脅威についてあらためてMac利用者に警告した。セキュリティ更新を入れ、感染の有無を確認し、公開中の駆除ツールを使うよう勧めている。

bizmash!
http://bizmash.jp/articles/18258.html

Mac Flashback 対策