3万台近いMacに感染しているが、まだ活動開始していないマルウェア「Silver Sparrow」 56
ストーリー by headless
銀雀 部門より
銀雀 部門より
現在のところマルウェアとしての活動は開始していないが、3万台近いMacコンピューターに感染しているというマルウェア「Silver Sparrow」の情報をRed Canaryが発表し、実際の攻撃が始まる前に対策するよう呼び掛けている(Red Canaryのブログ記事、 Mac Rumorsの記事、 Mashableの記事、 The Vergeの記事)。
Silver Sparrowはバージョン1(updater.pkg)とバージョン2(update.pkg)の2つのインストールパッケージが見つかっており、バージョン1がx86_64アーキテクチャー(Intel Mac)向けにコンパイルされたMach-Oバイナリを含むのに対し、バージョン2はx86_64とM1の両アーキテクチャー向けにコンパイルされたMach-Oバイナリ(Universal 2バイナリ)を含む点が大きな違いだという。ただし、これらのバイナリに特別な機能はなく、バージョン1は「Hello, World!」と表示し、バージョン2は「You did it!」と表示するだけのものとのこと。
従来のmacOSマルウェアでみられなかった点として、実行にmacOSインストーラーのJavaScript API(Installer JS)を使用する点が挙げられている。Red CanaryはMalwarebytesおよびVMwareのCarbon Blackと協力して調査を進めており、Malwarebytesの調べによると2月17日時点で153か国で29,139台のmacOSエンドポイントが感染しているそうだ。特に米国・英国・カナダ・フランス・ドイツで感染数が多いという。
M1チップにネイティブ対応するマルウェアとしては、Silver Sparrowとは異なるマルウェアの発見をPatrick Wardle氏が先に報告している。Intel Mac用バイナリはRosetta 2による変換でM1 Macでもそのまま動作するが、Xcode 12を使用すればコードを変更することなくUniversal 2バイナリが作成できるため、今後増加していくとみられる。
現時点でSilver Sparrowが悪意あるペイロードをダウンロードする様子はないものの、将来を見据えたM1チップ互換性や世界での感染の広がりと感染数の多さ、運用の成熟性などを考慮して、Red Canaryでは大きな影響を与える可能性のある深刻な脅威とみなしている。これを受けてAppleは該当する開発者の署名を失効させており、公証機能などによりユーザーを保護できるとの考えを示しているとのことだ。
Silver Sparrowはバージョン1(updater.pkg)とバージョン2(update.pkg)の2つのインストールパッケージが見つかっており、バージョン1がx86_64アーキテクチャー(Intel Mac)向けにコンパイルされたMach-Oバイナリを含むのに対し、バージョン2はx86_64とM1の両アーキテクチャー向けにコンパイルされたMach-Oバイナリ(Universal 2バイナリ)を含む点が大きな違いだという。ただし、これらのバイナリに特別な機能はなく、バージョン1は「Hello, World!」と表示し、バージョン2は「You did it!」と表示するだけのものとのこと。
従来のmacOSマルウェアでみられなかった点として、実行にmacOSインストーラーのJavaScript API(Installer JS)を使用する点が挙げられている。Red CanaryはMalwarebytesおよびVMwareのCarbon Blackと協力して調査を進めており、Malwarebytesの調べによると2月17日時点で153か国で29,139台のmacOSエンドポイントが感染しているそうだ。特に米国・英国・カナダ・フランス・ドイツで感染数が多いという。
M1チップにネイティブ対応するマルウェアとしては、Silver Sparrowとは異なるマルウェアの発見をPatrick Wardle氏が先に報告している。Intel Mac用バイナリはRosetta 2による変換でM1 Macでもそのまま動作するが、Xcode 12を使用すればコードを変更することなくUniversal 2バイナリが作成できるため、今後増加していくとみられる。
現時点でSilver Sparrowが悪意あるペイロードをダウンロードする様子はないものの、将来を見据えたM1チップ互換性や世界での感染の広がりと感染数の多さ、運用の成熟性などを考慮して、Red Canaryでは大きな影響を与える可能性のある深刻な脅威とみなしている。これを受けてAppleは該当する開発者の署名を失効させており、公証機能などによりユーザーを保護できるとの考えを示しているとのことだ。
Appleは該当する開発者の署名を失効させており、公証機能などによりユーザーを保護できるとの考え (スコア:0)
スラド諸氏による是非を伺いたい。
Re:Appleは該当する開発者の署名を失効させており、公証機能などによりユーザーを保護できるとの考 (スコア:2, おもしろおかしい)
さすがAppleだと思いますね。
マルウェアすら安全な動作をする。そうAppleならね。
Re:Appleは該当する開発者の署名を失効させており、公証機能などによりユーザーを保護できるとの考 (スコア:2)
Re: (スコア:0)
「何の意味があるんだ」と思ったが、案外機能するんだな。
というか開発者が間抜けすぎると思うが、期限までばれない予定だったのかな。
3万件もあれば他人の署名くらい盗めると思うが。
普通にセキュリティ対策ソフトの定義更新じゃダメなんかね。
Re:Appleは該当する開発者の署名を失効させており、公証機能などによりユーザーを保護できるとの考 (スコア:3)
手口がアメリカのお役所っぽい気もしますが。
Re:Appleは該当する開発者の署名を失効させており、公証機能などによりユーザーを保護できるとの考 (スコア:1)
具体的にはNSAとか?
Re: (スコア:0)
どうしてもインストールしたきゃインストールできるだろうし
別にいいんじゃね
自由がどうとかそういうのMacに求めてないんで
実害がなくてよかったな! (スコア:0)
おそらく今回のは単なる実験で終わる。ただし次はユーザーに被害が及ぶものが実際に現れるだろう。
いつまでもMacにセキュリティソフトは必要ないという盲信に浸らず対策しないとそのうち痛い目にあうぞ。
Re:実害がなくてよかったな! (スコア:2)
セキュリティソフトというのは原理が破綻しているわけですよ、既知のソフトが未知のマルウェアと同じOS上で動作するんですから。迷惑な素人を除ける飾りに過ぎない。まあ「なくても大丈夫」と「役に立たない」は微妙に異なりますが、入れたところで役に立たんのは間違いないのです。
一般的な意味の常駐ソフト、セキュリティソフトを規約で禁止しているiOSのアプローチの方が筋は良いと思いますね。
Re: (スコア:0)
皆が皆カリカリチューンされた標的型攻撃を仕掛けるハッカーに狙われる重要機密を扱う会社に勤めてるわけじゃないので、迷惑な素人を除けるだけで十分事足りるのです。
Re:実害がなくてよかったな! (スコア:2)
それだったらDefenderとか公証制度で十分かと。
Re: (スコア:0)
マルウェアまみれの素人のPCを見たらとても十分とは思えないですね。
セキュリティソフトもすり抜けられてるけどブロックも結構してるので無いよりはマシと言った程度ですが。
Re: (スコア:0)
それ偽陽性が多いだけでしょ
Re: (スコア:0)
ユーザーのアクションでインストールされて悪意ある行動を起こさないマルウェアはセキュリティソフトあっても防げないんじゃね。
Re: (スコア:0)
いつまでもMacにセキュリティソフトは必要ないという盲信に浸らず対策しないとそのうち痛い目にあうぞ。
えっ?セキュリティソフトは必要ないって事になっていたの?
それは知らなんだ
何年も前からセキュリティソフトを入れてる身としては、ちょっと情弱でしたかね
Re:実害がなくてよかったな! (スコア:1)
Re:実害がなくてよかったな! (スコア:2, 参考になる)
iPadやiPhoneが使っているiOSと、タレコミで言ってるMacのOSつまりmacOSは別物ですよ?大丈夫ですか?
iPadつまりiOSはサンドボックスでアプリごとに環境を分離している、かつアップルが審査したアプリしか基本的にはインストールできない、という2つの理由でセキュリティソフトは実質不要です。
Appleのユーザーサポートの回答は「(こいつiOSとmacOSの違い判ってないな.サンドボックスとか言っても混乱するやろな.めんどくさいな.)Apple製品はアンチウィルスは不要です(こう言っておけば素人は納得するやろ)」ということでしょう
一方でmacOSは上記2つの理由が全く当てはまりません。Windowsも当てはまりません。そのため、macOSやWindowsはマルウェアに感染したり、被害が出る可能性があります。心配な人は、セキュリティソフトを入れるべきでしょう
Re: (スコア:0)
OSのセキュリティアップデートとは別に自動アップデートが行われるXProtect, Gatekeeper, Malware Removal Toolがある。
一般的には、これで十分だからサードパーティのものは必要ないし、自分で、わざわざ無効にしてる人が悪い。
Re: (スコア:0)
iPadについて問い合わせてるんだから、当然iPadについての説明でしょ?
だったら騙してないじゃん
Re: (スコア:0)
「Apple製品は」と主語を大きくしたのは問題だと思われ。
「iPadは」と言えばいいだけなのに。
Re:実害がなくてよかったな! (スコア:1)
>セキュリティソフトは最後の防御壁
ただ、その防御壁が原因でクラッシュしたりアップグレードに失敗したり散々な不利益を被る場合が多い。
Windows Defenderの目的の一つに、行儀の悪いアンチウイルス製品 [security.srad.jp]の被害を減らすためという話すらあるし。
Re: (スコア:0)
それでもないよりはましという
複数種あればそれだけ対処法が必要になるし
Re: (スコア:0)
よくよく考えてみればないよりましというソースもない
Re: (スコア:0)
「セキュリティソフト」はそういう不利益が多い反面、本格的にヤバい標的型攻撃やランサムウェアは防げてない現実もあるんだよね。
こういう効果がないものをお守り代わりにしてるよりノーガードで十分気をつける方が安全だよ。
言ってみりゃ「オレオレ詐欺に引っかからないリテラシー」とかに通じるものがある。
怪しいと思ったら踏まない、踏む前には出処(署名)を確認するリテラシーを鍛えるのが最大の防御。
Re:実害がなくてよかったな! (スコア:2)
強盗だろうと詐欺師だろうと内側からカギを開けちゃうと対応できないだけで。
Re: (スコア:0)
そう、今はOSの対策が進んでるので自称セキュリティソフトで不安定にする必要はないと思うんだけどね。
鉄壁の城壁が整ってる家に、ユーザが内側から鍵を開けるのを防止するためにガードマン雇ってる状態。
で、そのガードマンは覗き(cookie)程度でも大騒ぎするし、風呂敷包みに髭で侵入する泥棒(古典的なウイルス)は
撃退してくれるけど、スーツ着た誘拐犯や笑顔が素敵な詐欺師が来ても食っちゃ寝してるだけの穀潰し。
時にはガードマン自身が凶悪犯を招き入れること(脆弱性)もある状態(トレンドとか何度やらかしてるんでしょうね)
Re: (スコア:0)
>ノーガードで十分気をつける方が安全だよ
>リテラシーを鍛えるのが最大の防御
素人に教育を行ったとしてもその効果は千差万別で、ノーガードの上にリテラシーも不十分なケースが出てくる。
そんなのでは話にならないのでアンチウイルス入れとく方がまだマシ。
そもそも企業では、アンチウイルス効果もさることながら、
PCの状態や検出状況を集中管理するエージェント機能を重視している。
ちなみにガチの素人はビビりなので、脅しておけば怪しいリンクを踏むことは少ないのだが、
毛が生えてきてた素人は検索で全能感を覚えて無茶やおいたを始める。
なんか騙そうと待ち構えてる仕掛けをことごとく踏み抜く感じで頭が痛い。
Re:実害がなくてよかったな! (スコア:2)
そうでなければ管理者はセキュリティソフトを入れないと利用者を信用なんかできないわけで。
まあ、セキュリティソフトが必要か必要じゃないか他人に聞いちゃう人は入れたほうがよいだろうなあ、とは思ってます。
Re: (スコア:0)
セキュリティソフトって効果があるの?
なぜ必要ってわかるの?
それこそワクチンのように対照実験して効果が証明されているの?
Re:実害がなくてよかったな! (スコア:1)
Re: (スコア:0)
この前、iPadの設定方法でわからないことがあって、Appleのユーザーサポートに問い合わせをしたら「Apple製品はアンチウィルスは不要です」と言ってました。
当たり前じゃないですか
もしご都合主義の真実に反した事実を告げるようなサポートスタッフがいたら
背信者としてどんな目に合わされるか
一サポートスタッフが社の方針を覆す発言をするなど許されているわけがない
無症状感染か (スコア:0)
無症状の後遺症煽りはよ
マルウェアにいちばん効果があるのは不自由なプラットホーム (スコア:0)
iPhoneみたいな、勝手アプリ禁止プラットホームが最大のマルウェア対策
プラットホーム提供者以外は、勝手アプリ禁止&root権限なしのアプリしか作れなくするのがいい
また不正アプリがみつかったらプラットホーム提供者が勝手に削除できるのもきわめて有効
Re: (スコア:0)
(お上の気まぐれで自分が排除される側に回るまでは)ディストピアめいた管理社会も安全で暮らしやすいということですね
Re: (スコア:0)
(お上の気まぐれで自分が排除される側に回るまでは)ディストピアめいた管理社会も安全で暮らしやすいということですね
理想郷とは無限のリソースが前提でございますので
人が実現する理想郷は例外なくディストピアでございます
Re: (スコア:0)
オレ多少右だけど、側から見るとリベラルなんか?知らんけど。
簡単にレッテル貼ってるけど、世の中いろいろいるんじゃね?
Re: (スコア:0)
左右の区別すら付いてなくて草
Re: (スコア:0)
> ディストピアめいた管理社会
Appleがスーパーボールでの伝説のCMで描いた社会が実現されつつあるわけですね。
あのCM、それを打ち砕くほうがAppleだとずっと勘違いしてました。
Re: (スコア:0)
さらに上に規制できる組織が存在しているのだからそれをお上と呼ぶのはちょっと違うかな
macOSの標準機能では防げないのだろうか(うん、防げいていないなぁ) (スコア:0)
XProtect, Gatekeeper, Malware Removal Tool (MRT), もっと頑張れよ! って叫びたい
Re: (スコア:0)
そもそもMac標準のFirewallが受信だけフィルタして送信は全部パスするってのがいけてない。
iOSでもだけど、できればネットワークアクセスもオプトインの権限にして、初回に聞いてきて欲しいところ。
Re: (スコア:0)
どういうルールでフィルタする?
このマルウェアはアップデータの振りをしてユーザーに実行させるから、実行モジュール単位ではユーザーは通信を許容してしまう。
アップデータの通信先の正しさをユーザーが判断するのも困難だろう。
初回に聞いてくる仕組みは問い合わせが多すぎてユーザーのチェックがザルになる事も問題だけど。
Re: (スコア:0)
バグと脆弱性は区別つけようね。
まあそれでも多すぎだけど。
Re: (スコア:0)
いつもの粘着コピペだぞ相手にするな
Re: (スコア:0)
お粗末すぎる脆弱性はバグと見分けがつかない
Re: (スコア:0)
全て修正済み。しかも今回のマルウェアもどきへも対応済み。
意図的にセキュリティ機能止めないと実行出来ません。
何かすごいのか? (スコア:0)
ここ数日話題になってて元ブログやいくつか記事を読んだけど、特に従来のものより技術的に洗練されたマルウェアには見えなかった。結局感染するにはユーザーが騙されてインストーラーを実行しなければならなくて、その後の動作や特徴も別に普通な感じ。
基本的な感覚として、パソコンなんだからローカルに怪しいプログラムを実行しちゃったらそりゃあなんでもやられ放題で当たり前という教育を徹底させるしかないような。アプリができることを制限してSandboxに閉じ込める方向の安全性を求めるならスマホやタブレットになる。
Re:何かすごいのか? (スコア:2)
>結局感染するにはユーザーが騙されてインストーラーを実行しなければ
たまに知り合いのPCを見ることがあるんだが、騙されるというよりは
無条件ではいを押して色々インストールされちゃってることが多い。
(macOS でなく Windowsなんだけど)
デスクトップにウイルス対策ソフトが3個かhao123が入っているとか。
遅くなったといわれたときは時間があればアンインストールしてあげるんだけど、
しばらくすると同じ状態に...
便利そうだからといってなんでもかんでも入れればいいというものじゃない。
でも判断するのって難しいよね。
このマルウェアの見つけ方を教えて下さい (スコア:0)
Red Canaryのサイト見たけどよく分からない。
銀の点点、海雀 (スコア:0)
「海雀」 北原白秋
海雀、海雀
銀の点点、海雀
波ゆりくれば ゆりあげて
波ひきゆけば かげ失する
海雀、海雀
銀の点点、海雀
「Silver Sparrow」から連想した。
和名 ウミスズメ
英名 Ancient murrelet
だから直結はしないだろうけど。
https://ja.wikipedia.org/wiki/%E3%82%A6%E3%83%9F%E3%82%B9%E3%82%BA%E3%83%A1 [wikipedia.org]