MacProtector :今週のニセモノ図鑑


By アンドリュー・ブラント / Andrew Brandt

今週は、Windows システムを狙う偽セキュリティ製品との果てしない戦いから少し離れ、Mac OS を狙った偽ソフトである MacProtector についてお話したいと思います (MacProtector には、Mac Security、Mac Defender、MacGuard、といった名前が付けられていることもあります。今後もさまざまな新しい名前で登場することが予想されます)。

Webroot では Mac システム対応の自動駆除機能は用意していませんが、ここ数週間、当社のビデオ ブログを含めてこの偽アンチウイルス ソフトを取り上げる記事が増えており、避けて通れない話題になりつつあります。

Webroot では Mac システム対応の自動駆除機能は用意しておりません。しかしながらこの偽アンチウイルス ソフトは、多少面倒ではあるものの、初歩的な方法で削除可能です。その際、Activity Monitor (アップルのプロセス監視 GUI で、デフォルトでは、[Applications] フォルダー配下の [Utilities] フォルダーにあります) を使用して削除します。
このプログラムは stub.mpkg というインストーラー ファイルの形になっています。このインストーラーでアプリケーション本体がインストールされるわけではなく、このインストーラーは avRunner.app という名前のアプリケーションを [Applications] ディレクトリに配置し、それを実行します。

そして、avRunner.app は Web サーバーからアプリケーションの本体である rogue.app をダウンロードします (当社で試した際は、86.55.210.102 という IP アドレスからダウンロードされていました)。

偽アンチウイルス ソフトでは、頻繁に変わるプログラム名に UI の更新が追いつかないことがよくあります。このため、プログラムは間抜けな様相を呈します。ここで、一方のウィンドウでは Mac Guard となっており、もう一方のウィンドウに表示された偽ボックスの画像では Mac Defender となっています。その画像の下のテキストには「You are purchasing MAC Security. (MAC Security を購入しています。)」と書かれています。Blink 182 の歌詞を借りれば、「What’s your name again? (あなたは一体何者?)」といったところでしょうか?

ここ数年の間に登場した Windows システムを襲う数々の偽アンチウイルス ソフトに比べれば、この MacProtector によって Mac ユーザーが受けている被害などつまらないものです。

まず、Mac OS にはレジストリがありません。そのため、偽アンチウイルス ソフトは OS 機能を弱体化させる変更を簡単に加えることができません。Windows システムを狙う偽アンチウイルス ソフトの多くは、ルートキット ドライバー使用し、感染したコンピューターをほとんど使用不可能にしてしまうようなレジストリの変更を行います。

Mac を狙う偽アンチウイルス ソフトは、Windows を狙う偽アンチウイルス ソフトと同様に、いかにも合法的なソフトウェアであるかのような形態をとるのですが、所詮にわか仕立ての偽プログラムであるため、つまらないエラーで詰めの甘さを露呈します。

これまで見てきたさまざまな偽アンチウイルス ソフトは、どれもほとんど同じ動作をします。インストーラーはアプリケーションをダウンロードし、起動します。アプリケーションの起動とほぼ同時に「スキャン」が開始され、すぐにシステムが不正ファイルに感染しているというレポートが表示されます。この不正ファイルを何と呼ぼうと、偽アンチウイルス ソフトがでっち上げたものであることに変わりありません。

このプログラムに組み込まれた独自の監視ツールには驚かされました。もちろん、この監視ツールを使って偽アンチウイルス ソフトを終了させることはできませんが、システム上で起動している他のアプリケーションやサービスには使用できます。

このプログラムは、スキャンのタイプ (残念ながら「真っ当なスキャン」というオプションはありませんが) や起動時の自動実行の無効化といったオプション機能さえ備えており、設定を変更することができます。

プログラムをしばらく観察してみると、ウイルス感染したコンピューター上で 12 分ほどアイドル状態になった後、バックグラウンドで Safari ブラウザーが起動し、gay.porn.combuy-viagra-now.net といった家族向けにはほど遠いサイトの Web ページが表示されました。何か不正なものにコンピューターが感染しているように見せたいのです  (たしかに感染してはいますが、犯人は自分たちです)。それにしても、もっと上品な Web サイトを選んでほしいものです。


デスクトップに警告メッセージを表示し続けながら、「ライセンス キー」を 100 ドルで購入するよう求めるウィンドウを何度も表示します。購入ウィンドウは、ここ 1 週間は 91.213.217.30 という IP アドレスからロードされていました。この IP アドレスは、Windows を狙った偽アンチウイルス ソフトへの関与が疑われるアドレスとして当社の定義ファイルに載せていたものです。ですので、この IP アドレスを hosts ファイルで localhost 設定しても、大きな問題にはなりません。

この偽アンチウイルス ソフトのためにでっち上げられている架空の裏話が印象的です(嘘があまりにも分かりやすいものでなければ、説得力があるのでしょうが)。10 ヶ国以上に所在する 250 人の専門家が 24 時間体制でクレジット カード番号や ETC の情報を保護しているとは! 本当であれば、確かに魅力的です。

さて、この偽アンチウイルス ソフトの対処方法についてです。まず、Activity Monitor を起動し、実行中のプロセス リストでこの偽アンチウイルス ソフトの名前を選択します。そして小さな禁止記号のアイコンをクリックしてプログラムを強制終了させます。強制終了させた後、[Applications] ディレクトリからアプリケーションを削除すれば完了です。


Mac コンピューターがウイルス感染しても、アップルはサポートを提供してくれません (ウイルス感染の原因は、アップル社製ソフトウェアの脆弱性ではありません)。自分の身は自分で守る必要があることをお忘れなく。何せあちらは「Genius Bar」ですからね。これぐらいは自分で対応しなさい、ということです。

wordpress blog stats