act2.com blog

このところ、何十万台もの Mac が Flashback マルウェアの被害を受けている報告をした際に、私たちの報告した情報はセキュリティベンダのシンクホールに基づいていました。

※　シンクホールとは、感染したコンピュータからの情報をとらえるためにセットアップされたサーバで、悪意のあるコマンドやコントロールサーバを置換します。）

以来、いくつかのセキュリティ対策企業は、Mac の感染台数が 30,000 台にまで減少したと報告しています。

しかし、Intego 社はマルウェアを分析し、その他のセキュリティ対策企業との話し合いの末、この数は間違っているだけでなく、感染した Mac の台数を低く見積もっていると判断しました。

（ロシアのセキュリティベンダーの Dr Web 社のボリス・シャロブ (Boris Sharov)氏は、この件についてツイートをしています。Dr Web 社はシンクホールを使っている企業の一つであるため、我々はここからより多くの情報を待っています。）

Flashback マルウェアは、特定の日に特定のドメインを探すシステムとなっています。例えば、4月19日に使われたドメインは lequkvmlratgsm.com でしたが、マルウェアは .com だけではなく .net/.info/.in/.kz などのドメインも探します。マルウェアがこれらのうちの一つと接続された時点で、それ以上他のドメインは探しません。いくつかの企業がシンクホールサーバを実行しているため、それぞれが見つけた Mac 感染台数を報告していますが、その数はその日における異なるサーバ、全ての総計数ではありません。

更に、Intego 社の仮想マシンを使用して分析したサンプルは、日常的に稼働していると認めている一部の企業のサーバとコンタクトがとれないものもあります。

こういった理由から、報告されている数よりも多くの Mac が感染していること、そして更に感染は続くと考えられる、という結論に達しました。Flashback マルウェアについてのメディアの注目が広がり、多くの Mac ユーザが、Intego 社の Mac アンチウイルス製品である VirusBarrier X6 などの、アンチウイルスソフトウエアをインストールしていることが確認されています。Intego 社やその他の会社は、購入客の Mac から検出されたマルウェアのサンプルを多く受け取っています。トロイの木馬として最初に発見されたのは2011年の9月のことでした。しかし Mac のウイルスが駆除されればされるほど感染台数は減っているべきであり、その数は公に発表されている数と一致します。しかし、マスコミで最近発表されている実際の感染台数を見ると、感染した台数と同じ程の台数からウイルスが駆除され、他多くが感染しているという事実がわかります。

- Intego Mac Security Blog より引用
文責
@MikiyaKato

Intego 社やその他の企業による調査で、それぞれのシンクホールが異なるMac 感染台数を示す理由がわかる、興味深い情報が確認されました。

（今日のブログ記事、「Mac への Flashback 感染率は過小に認識されている事実」をご覧下さい。）

上記の通り、Flashback マルウェアは .com/.net/.info/.in/.k zなど、最上位ドメイン名を探します。これらのドメインのいくつかに対しては、Dr Web 社のシンクホールが感染した Mac をとらえているようですが、その他のドメイン、.net/.in/.kz は、テストの結果Flashback マルウェアがコンタクトを試みたドメインは、IPアドレス 127.0.0.1 またローカルホスト（感染したMac自体）に変換しています。

Flashback マルウェアがコンタクトを試み、そのリクエストを Mac へとリダイレクトするドメインをブロックするルート DNS サーバに対しての責任がある企業とアクションを起こしたように見えます。ここでの効果とは、Mac は感染した状態ですが、コマンドやコントロールサーバにコンタクトする事ができません。特にシンクホールによって数えられないということになります。しかしながら、Flashback マルウェア感染の本当の範囲はわかりません。

それぞれの ISP の DNS サーバによって、この情報は広まる可能性も広まらない可能性もありますので、Flashback コマンドやコントロールサーバにコンタクトを試みた際に、Mac は様々な国においてそれぞれ異なる結果になる可能性があります。

これらのドメインが 127.0.0.1 に変換するかどうかを自身でテストする事が可能です。ドメインのリストを下記に記載しました。

（もし OpenDNS を使用であれば、これらのドメインはアドレスに変換して下さい。）

sebaskasibpjwi.net

ozpvwivilizpzss.com

bzdtheaihrwkxth.com

snefmftspawaa.com

mwdhfqtevddz.com

ocbelvodhpuu.com

qpjlagydkmnm.com

fzvmiozlzxqs.com

qsyfcfmukmiqq.com

mgmuloyfopbrna.net

snefmftspawaa.com

「ターミナル」で下記のコマンドを実行：

例えば、リストの最初のドメインをテストする場合には下記のコマンドを実行：

留意：DNS レベルでリダイレクトされる場合、ホストコマンドの実行時に、”not found” のメッセージが表示されます。

- Intego Mac Security Blog より引用
文責
@MikiyaKato

このところ、何十万台もの Mac が Flashback マルウェアの被害を受けている報告をした際に、私たちの報告した情報はセキュリティベンダのシンクホールに基づいていました。

※　シンクホールとは、感染したコンピュータからの情報をとらえるためにセットアップされたサーバで、悪意のあるコマンドやコントロールサーバを置換します。）

以来、いくつかのセキュリティ対策企業は、Mac の感染台数が 30,000 台にまで減少したと報告しています。

しかし、Intego 社はマルウェアを分析し、その他のセキュリティ対策企業との話し合いの末、この数は間違っているだけでなく、感染した Mac の台数を低く見積もっていると判断しました。

（ロシアのセキュリティベンダーの Dr Web 社のボリス・シャロブ (Boris Sharov)氏は、この件についてツイートをしています。Dr Web 社はシンクホールを使っている企業の一つであるため、我々はここからより多くの情報を待っています。）

Flashback マルウェアは、特定の日に特定のドメインを探すシステムとなっています。例えば、4月19日に使われたドメインは lequkvmlratgsm.com でしたが、マルウェアは .com だけではなく .net/.info/.in/.kz などのドメインも探します。マルウェアがこれらのうちの一つと接続された時点で、それ以上他のドメインは探しません。いくつかの企業がシンクホールサーバを実行しているため、それぞれが見つけた Mac 感染台数を報告していますが、その数はその日における異なるサーバ、全ての総計数ではありません。

更に、Intego 社の仮想マシンを使用して分析したサンプルは、日常的に稼働していると認めている一部の企業のサーバとコンタクトがとれないものもあります。

こういった理由から、報告されている数よりも多くの Mac が感染していること、そして更に感染は続くと考えられる、という結論に達しました。Flashback マルウェアについてのメディアの注目が広がり、多くの Mac ユーザが、Intego 社の Mac アンチウイルス製品である VirusBarrier X6 などの、アンチウイルスソフトウエアをインストールしていることが確認されています。Intego 社やその他の会社は、購入客の Mac から検出されたマルウェアのサンプルを多く受け取っています。トロイの木馬として最初に発見されたのは2011年の9月のことでした。しかし Mac のウイルスが駆除されればされるほど感染台数は減っているべきであり、その数は公に発表されている数と一致します。しかし、マスコミで最近発表されている実際の感染台数を見ると、感染した台数と同じ程の台数からウイルスが駆除され、他多くが感染しているという事実がわかります。

- Intego Mac Security Blog より引用
文責
@MikiyaKato