act2.com blog

このところ、何十万台もの Mac が Flashback マルウェアの被害を受けている報告をした際に、私たちの報告した情報はセキュリティベンダのシンクホールに基づいていました。

※　シンクホールとは、感染したコンピュータからの情報をとらえるためにセットアップされたサーバで、悪意のあるコマンドやコントロールサーバを置換します。）

以来、いくつかのセキュリティ対策企業は、Mac の感染台数が 30,000 台にまで減少したと報告しています。

しかし、Intego 社はマルウェアを分析し、その他のセキュリティ対策企業との話し合いの末、この数は間違っているだけでなく、感染した Mac の台数を低く見積もっていると判断しました。

（ロシアのセキュリティベンダーの Dr Web 社のボリス・シャロブ (Boris Sharov)氏は、この件についてツイートをしています。Dr Web 社はシンクホールを使っている企業の一つであるため、我々はここからより多くの情報を待っています。）

Flashback マルウェアは、特定の日に特定のドメインを探すシステムとなっています。例えば、4月19日に使われたドメインは lequkvmlratgsm.com でしたが、マルウェアは .com だけではなく .net/.info/.in/.kz などのドメインも探します。マルウェアがこれらのうちの一つと接続された時点で、それ以上他のドメインは探しません。いくつかの企業がシンクホールサーバを実行しているため、それぞれが見つけた Mac 感染台数を報告していますが、その数はその日における異なるサーバ、全ての総計数ではありません。

更に、Intego 社の仮想マシンを使用して分析したサンプルは、日常的に稼働していると認めている一部の企業のサーバとコンタクトがとれないものもあります。

こういった理由から、報告されている数よりも多くの Mac が感染していること、そして更に感染は続くと考えられる、という結論に達しました。Flashback マルウェアについてのメディアの注目が広がり、多くの Mac ユーザが、Intego 社の Mac アンチウイルス製品である VirusBarrier X6 などの、アンチウイルスソフトウエアをインストールしていることが確認されています。Intego 社やその他の会社は、購入客の Mac から検出されたマルウェアのサンプルを多く受け取っています。トロイの木馬として最初に発見されたのは2011年の9月のことでした。しかし Mac のウイルスが駆除されればされるほど感染台数は減っているべきであり、その数は公に発表されている数と一致します。しかし、マスコミで最近発表されている実際の感染台数を見ると、感染した台数と同じ程の台数からウイルスが駆除され、他多くが感染しているという事実がわかります。

- Intego Mac Security Blog より引用
文責
@MikiyaKato