パスワードを忘れた? アカウント作成
7926 story

Mac OS X向けのトロイの木馬について警告 30

ストーリー by Acanthopanax
あやしいファイルは開かない 部門より

セキュリティソフト製作会社のIntegoが、Mac OS X向けのトロイの木馬についての警告を発している。MP3Concept (MP3Virus.Gen)と名付けられたこのトロイの木馬は、拡張子が.mp3であり、MP3ファイルのアイコンで表示されるが、ID3タグ内にコードが仕掛けられているという。ダブルクリックして起動すると、悪意のあるコードが実行され、ファイルの消去、電子メールによる自身のコピーの送信、MP3・JPEG・GIF・QuickTimeファイルへの感染をひきおこす可能性があるとのこと。

[2004-04-09 17:15 JST Acanthopanaxによる追記] MP3アイコンを表示させる仕組みがまだ不明確ですので、その部分を中立的な表現に修正しました。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by nInfo (14824) on 2004年04月09日 11時10分 (#528853)
    Mac OS Xのセキュリティホールを利用するということですが、
    どのバージョンで脆弱性があるのか、ダブルクリックで起きるなら
    Mac OS 9以前でも同様ではないのか、それから具体的な対策方法
    がファイルをダブルクリックしないこととしか示されていませんね。
    またJPEGとGIFでも同様だと書いてありますが、PNGやTIFFやPDF
    なら大丈夫ってことなのでしょうか。Macで一般的なAACファイル
    やQuickTimeのファイルについては?
    さて、.MacのVirexのウィルス定義ファイルはまだ更新されていま
    せんが、Symantecのものはどうなのでしょう?
    早いところAppleがSecurity Updateを出すことが肝心な訳ですが。
    • by t_trace (6746) on 2004年04月09日 11時32分 (#528862) 日記
      既に、日本語のMac Securityの情報筋にはいろいろあがってます。
      harden-mac MLには[harden-mac:0620] Re: First Mac OS X Trojan Horsel [ryukoku.ac.jp]が投稿されています。
      手前味噌で申し訳ないが私の日記 [hatena.ne.jp]では考察も入れています。

      この手のネタではリンク貼っても読まない人が多いみたいなんで要約しますが、

      またJPEGとGIFでも同様だと書いてありますが、PNGやTIFFやPDF
      なら大丈夫ってことなのでしょうか。Macで一般的なAACファイル
      やQuickTimeのファイルについては?

      Carbon/CFMのアプリケーションに適当な拡張子をつければ、このトロイの木馬と同じことが可能になりますので、拡張子を持つ全ての書類でこの脆弱性を用いたアタックが可能になります。
      Mac OS 9以前であっても同様。拡張子でアイコンがつかないタイプのファイルであれば、任意のアプリケーションのアイコンでも貼付けておけばいいわけです。

      Appleに望む対処、つまりSecurity UpdateでAppleがこの脆弱性をつぶすときに取れる手段は以下が考えられます。
      ・Carbon/CFMの禁止
       これは、まぁ、無理でしょう。
      ・アイコンに実行可能バッチの追加
       実行属性を持つファイルのアイコンに、エイリアスなどと同様、アプリケーションであるパッチをつけることで、ユーザ任せの回避策ですが、これもあり得る解決策ですね。ただ、アプリケーションを何らかの手法で実行されてしまう可能性もないとは言えないので、実効性は薄いと考えます。
      ・アプリケーション起動パスの制限
       /Applicationsや~/Applicationsなどの限られた場所にないアプリケーションを起動できなくすることで、現在表面化していない様々な脆弱性に対処できます。

      ぜひとも、アプリケーション起動パスの制限が実装されてほしいものです。
      親コメント
      • 切り分け? (スコア:3, 参考になる)

        by Anonymous Coward on 2004年04月09日 11時51分 (#528883)
        ちょっと読んだ感じだと、二つの場合がありえるわけで、
        • Carbon app を普通のファイルに偽装させる
        • mp3 ファイルのid3 タグにスクリプトを仕込む
        は別の物として考えるべきだと思います。

        上の場合はファイルの上にポインタを合わせるとファイル情報の要約が 出るようにしておけば防げます。
        つまり拡張子やアイコンを信じるのではなくて、ls -l とfile の結果を信じる、 ということです。

        下の場合には仕組みがよくわかってないので何ともいえませんが
        QuickTime なりの実装に問題があるように思えます。
        他の方も書き込んでますが、ここの情報が欲しいです。

        今回のタレ込みはこの下の問題を言っているのであって上の問題と ごっちゃにしない方がいいと思います。

        親コメント
        • Re:切り分け? (スコア:3, 参考になる)

          by t_trace (6746) on 2004年04月09日 14時01分 (#529014) 日記
          確かに切り分けができていませんでした。
          今回の警告と同じような動作をするサンプルが、既にあがっているのですが
          http://www.scoop.se/~blgl/virus.mp3.sit
          このファイルではMP3ファイルのID3タグ内にppcのCarbonアプリケーションが埋め込まれ、ファイルタイプがAPPLとなっています。ダブルクリックするとID3タグ内のアプリケーションが実行されますが、iTunesで普通にMP3として音声を聞くことも可能です。

          この方法を用いても同じことができる、というだけで同じ手法を用いたトロイの木馬が今回発見されたものかどうかは判りません。ここのきり分けをせずに投稿していました。
          親コメント
          • なるほど、ようやくわかりました。
            たぶん、今回の話のキモは、このことなんですね。
            だから、QuickTimeやiTunesについての話ではないと。
            Finderについての脆弱性であると。

            ファイル消せちゃうとか、メール送れちゃうとかは、「コードが動けば何でもできる」という部類に属する話で。

            そうであれば、最大の謎、GIFファイル等にも感染するっていう意味も、何となくわかるような気がします。
            既存のファイルに、実行コードをコピーして、アプリだよって言ってしまえば、ダブルクリックで実行してしまうと。
            もしそうなのであれば、ファイルの種類は問いませんね、きっと。

            #もちろん、私がわかった気になっているだけで、全く違う話かもしれません。
            親コメント
          • by yoz (6065) on 2004年04月09日 17時57分 (#529194)
            サンプルありがとうございます。
            MP3のヘッダぶんコードフラグメントの開始位置をオフセットさせるのがキモなんですね。
            事実上、アプリケーションなコードフラグメントがオフセット0以外から始まってるのって
            ほとんどないような気がするので、Launch時にそのへんを見て警告を出すような機能拡張
            (つーか、今はどうやって実装したらいいんだ?)で、防御できたりするかも?
            親コメント
            • by t_trace (6746) on 2004年04月09日 18時21分 (#529208) 日記
              Launch時にそのへんを見て警告を出すような機能拡張

              まさにそのような処理をするための措置が、[harden-mac:0632] [slashdot.jp]にあがっています。
              LaunchCFMAppがCFMなアプリケーションを起動する前にチェックするプログラムのソースファイルとその使い方がアップされています。
              参考までに。
              親コメント
          • by Anonymous Coward
            アプリケーションファイルは、強制的に.app等の拡張子が表示される、
            みたいな少々不細工な仕様にでもしないと、避けられない気がします。

            これって昔から存在する伝統的な脆弱性と言えるかもしれませんね。
            拡張子に見合う書類のアイコンがバインドされてたら、通常は判別出来ま
      • >ぜひとも、アプリケーション起動パスの制限が実装されてほしいものです。

        そういう否定されているレガシーなやり方では全くダメですね。
        同じパスにインストールされるアプリケーションに付属する書類は
        実行出来てしまうのだし。それにMac OS 9でどうやるんですか?
        局所的かつ暫定的としか思えない方法には反対します。Appleには、
        もっと上手くまともな対処をやってくれるように期待しています。
        親コメント
      • 結局、なにが脆弱性なんだかわからない。
        ファイル消去とかの悪意のあるコードを入れたAPPLなファイルに hoge.mp3 というファイル名を付けただけのものと大差ないような。アイコンだってカスタムアイコンでmp3のふりをすれば同じ事。これを脆弱性と呼ぶのなら、アプリ起動を禁止するほか無い!?
        • 結局、なにが脆弱性なんだかわからない。
          ファイル消去とかの悪意のあるコードを入れたAPPLなファイルに hoge.mp3 というファイル名を付けただけのものと大差ないような。アイコンだってカスタムアイコンでmp3のふりをすれば同じ事。これを脆弱性と呼ぶのなら、アプリ起動を禁止するほか無い!?
          はた目にアプリケーションを起動していることに気付きにくい、
          というのがあります。ダブルクリックしてiTunesで再生された
          *.mp3ファイルを、「MP3ファイルではないかも知れない」と判断する
          人は少ないでしょう。

          見た目だけならこれまでもだませたと思うので、今回のは
          APPLタイプがついたファイルの中にJoy!peffを見つけたら、
          CFMアプリだと思って無条件にローンチしてしまう起動サービスに
          脆弱性がある、と表現するのが正しいのかな。

          確か上記8バイトはCFMなアプリの先頭に付くはずなので、今回の
          例でいうと ID3ヘッダなどを無視してることになりますからね。
          親コメント
          • >見た目だけならこれまでもだませたと思うので、今回のは
            >APPLタイプがついたファイルの中にJoy!peffを見つけたら、
            >CFMアプリだと思って無条件にローンチしてしまう起動サー
            >ビスに脆弱性がある、と表現するのが正しいのかな。
            >
            >確か上記8バイトはCFMなアプリの先頭に付くはずなので、

            違い
        • 結局はMacに似つかわしくない拡張子なんてものを使う古いやり方
          を入れてしまったことに問題がある訳ですね(拡張子でファイルを
          偽装するなんてWindowsで使い古された手で、Macには通じない
          ものだったのに)。ファイルタイプと クリエイタータイプでファイル
          の種類を判断することを徹底させて、拡張子は基本的に便宜上の
          付属品と見なす方が良いですね。
          親コメント
          • 結局はMacに似つかわしくない拡張子なんてものを使う古いやり方
            を入れてしまったことに問題がある訳ですね

            ほかのMP3やJPEGなどのファイルに感染する可能性というところでひっかかって、自分も最初誤解していたのですが、今回配付されていたコンセプトファイルに関しては自前でアイコンを持っているので、拡張子はあんまり関係ありませんでした。

            普通のデータファイルで単純にファイルタイプを"APPL"に変更すると、そちらが優先されてアプリケーションのアイコンとなります。なので、アイコンを偽装しようとすると、自前で持つか、カスタムアイコンを貼り付けるかということになるので、拡張子には関係なくなるのではないかと、いまのところは思うようになりました。

            親コメント
          • 同感です。

            エイリアスに矢印の目印つけるように、APPLや.appにも目印つけたらいいのに
            (完全解決とは行かないけど、拡張子に惑わされにくくなるのでわ)
            • 甘いですね。簡単に裏をかけます。

              アイコンを欺瞞したドキュメントをダブルクリックすると隠された
              親アプリケーションが起動する様にし、ドキュメントが普通に開いた
              時と同じ動作をしつつ陰で悪さ
    • 情報欲しいっすね。対応できてからでいいですけど。
      つーか、IntegoはAppleにちゃんと警告してくれたんだろうか…。

      MP3とかJPEGとか、解釈するのはQuickTimeなわけで、穴があるとしたら
      QuickTimeでしょうけど。

      うーん、気になる。だれか送ってきてくれないかな(w
      親コメント
      • quicktimeって言われて思い出したけど、
        http://www.smh.com.au/articles/2004/03/03/1078191367777.html
        の問題の可能性があるのかなと思ったり。
        3/3発表だけどフィックスされたんだっけ?
  • by nInfo (14824) on 2004年04月09日 23時12分 (#529347)
    結局のところ、Carbon (CFM)の仕組みに脆弱性があるようで、
    これならCarbon Libのアップデートで対処出来そうな気もします。

    More details on Trojan Horse for Mac OS X [macnn.com]
    • by nInfo (14824) on 2004年04月10日 14時18分 (#529576)
      Symantecからも情報が出ています。
      MP3Concept [symantec.com]
      簡単にいうと流行るような危険性のあるものではないし、感染者も
      ほとんどいないし、感染しても除去は簡単だということです。
      親コメント
      • by elsee9 (15678) on 2004年04月10日 15時06分 (#529592) 日記
        簡単にいうと流行るような危険性のあるものではないし、感染者も
        ほとんどいないし、感染しても除去は簡単だということです。
        それは、MP3Conceptに限っての話なのでは?
        同様の手口で悪質なものを作ることは可能な気がしますが…。
        親コメント
        • by nInfo (14824) on 2004年04月10日 20時02分 (#529693)
          同様の手口で悪質なものといっても、バラ巻く為のOutlook Expressは
          ないし、Internet ExplorerもWindowsのような脆弱性はありませんね。
          それにユーザの権限で出来ることは、そのユーザの書類を削除出来る
          程度でシステムを改ざんしたりHDDを消したりすることは出来ません。
          流行る要素はこの方法だけを使う限りはないと言いきれますね。
          親コメント
          • by elsee9 (15678) on 2004年04月10日 20時59分 (#529715) 日記
            それにユーザの権限で出来ることは、そのユーザの書類を削除出来る
            程度でシステムを改ざんしたりHDDを消したりすることは出来ません。
            全てのユーザが日常的にバックアップを取っているわけではないし、
            ユーザデータが消えるのは個人ユーザには結構痛いと思いますよ。
            (バックアップ取るのが当然とは思いますが)

            また、Mac OS X以前の環境でダブルクリックしたときの影響
            範囲も気になるところです。
            親コメント
typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...