Macのセキュリティ研究者は今週、macOSを狙った新たなマルウェアの2つの別個のインスタンスが出回っていることを発見したが、ArsTechnicaが指摘しているように、MacのエクスプロイトシーンはWindowsで見られる高度なワームやトロイの木馬に比べるとまだはるかに遅れをとっている。

新たなマルウェアエクスプロイトの1つは、古いWindowsの手法を利用し、マクロを使ってWord文書内でコード実行を悪用します。Macプラットフォームを標的としたこの種のエクスプロイトとしては初めてのものと考えられています。幸いなことに、このような古い攻撃ベクトルを利用している分、回避は概ね容易です…

このエクスプロイトは、ファイルを開くと実行されるマクロを含む、特別に細工されたWord文書を、何も知らないユーザーに開かせることで機能します。マクロは数年前、Windowsの世界で広く利用されていた攻撃手法でしたが、現在、少なくとも1つの組織がこの原始的な手法をMacユーザーに対して利用しようとしているようです。

しかし、疑わしいWord文書は簡単に見分けられます。Microsoft Office（Pagesではない）で起動すると、マクロを含む文書はユーザーに実行許可を求めます。「マクロを無効にする」ボタンを押すだけで、悪意のあるコードの実行を停止できます。許可されると、マクロはリモートサーバーから任意のコードをダウンロードして実行します。これには、キーロギング、Webカメラの監視、ブラウザ履歴の取得などが含まれます。このケースでは、研究者は「US Allies and Rivals Digest Trump's Victory（米国の同盟国とライバル国によるトランプ勝利ダイジェスト）」というファイルでこの脆弱性を発見しましたが、当然ながらこの件の主題は本件とはほとんど関係がありません。

この攻撃がいかに原始的であるかを考えると、どれほどの人が騙されてマクロに悪意ある行為をさせてしまうのかは想像に難くありません。Officeのポップアップでさえ、ウイルスに関する明確な警告とともに「マクロを無効にする」オプションを推奨しています。しかし、エクスプロイトの作成者は、ほんの一部の人が「マクロを有効にする」をクリックするだけで、自分たちの時間を無駄にしないことを知っているのです。

今週発見されたもう一つのマルウェアは、Windowsの典型的な手口を悪用し、一般的なソフトウェアアップデートダイアログを偽装して、正規のアプリケーションではなく悪意のあるコードをダウンロードさせるものでした。研究者らは、MacDownloaderウイルスがAdobe Flash Playerのアップデートを装う仕組みを解明しました。

実際には、ユーザーのキーチェーンを収集し、ユーザー名とパスワードをフィッシングし、その他の機密性の高い個人データを収集します。そして、これらのデータをリモートサイトに送り返し、マルウェア作成者が自由に利用できるようにします。

この攻撃はWordマクロのケースよりも巧妙ですが、それでも比較的単純です。ユーザーがウェブサイトからFlash Playerプラグインのアップデートリンクをクリックし、ダウンロードしたファイルを実行することで攻撃が行われます。この種の攻撃を回避するには、システムツール（ソフトウェアアップデートなど）を使用するか、プラグインのサイトに直接アクセスしてアップデートの有無を常に確認するようにしてください。現代社会においては、Flashを完全にアンインストールすることが賢明かもしれません。これは非常に一般的な攻撃経路です。

Macウイルスは稀ですが、こうしたウイルスを避けるには常識を働かせることが非常に重要です。出所不明のWord文書でマクロを実行したり、インターネット上の無作為なウェブサイトからソフトウェアのアップデートをダウンロードしたりしないでください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。