Travellers Tales

ウイルスの内容が把握されないまま情報が広められてる？

連休中に「ITmedia News：新たなMac OS Xウイルスが出現−−Macユーザーも対策を」というような報道がされました。

Mac OS Xを標的とした新たなコンセプト実証ウイルスが出現。Macを使っている企業や個人もウイルス対策が必要だとSANS Internet Storm Centerは指摘する。

これを受けてか、ブログなどでもこの OSX.Macarena というウイルスについて書かれたものが少なくないようです。しかし、どうも単に右から左に流しているだけで、これが何なのかということは考えていないように見えます。

コンセプト実証ウイルスって？

そもそもコンセプト実証ウイルスって何なのでしょうか。Wikipedia のコンピュータウイルスの項には、コンセプトウイルスについて以下のように書いてあります。

ある種のセキュリティホールの問題を提起するため、技術的な実証実験に用いられるコンピュータウイルス。

この OSX.Macarena とよばれるものも、ソースコードの形でしか公開されておらず、動かす場合にはまずコンパイルをする必要があります。

これを最初にウイルス定義した Symantec の OSX.Macarena のページでも、Risk Level 1: Very Low、極めて危険性は低いとしています。

シマンテックの陰謀？

日本語圏ではただ右から左に流した反応が多かったですが（ウイルスの内容を検討していないのでしょう）、英語圏では MacFixIt や Slashdot で、Symantec が結構けちょんけちょんに叩かれています。マフィアの脅しを思い出させるとまで書かれている有様。

本当に OSX.Macarena の危険性はどの程度のものなのか、もうちょっと詳しく見ていってみます。（11月10日追記あり）

OSX.Macarena の詳細

Symantec による OSX.Macarena の情報ページには、あまり詳しい情報がありません。

Infects other files when they are executed in the current directory, regardless of file name or extension.

ファイル名、拡張子に関わらずに感染するとありますが、ウイルスが実行されたフォルダでしか感染しないということが書かれています。結構間抜けな話です。

Symantec の Security Response Weblog にはもう少し詳しく書いてあります。以下はウイルスの複製（増殖）についての部分です。

However, it won't replicate very well, because it is restricted to the current directory. On Windows systems it is common to have directories like "Windows" and "Windows\system32" full of executable files; but, files aren't stored like that on OSX systems.

訳してみると「しかしながら、ウイルスはそんなにうまく増えない。現在のディレクトリのみに制限されているからだ。Windows のシステムでは、実行ファイルのたくさんある "Windows" や "Windows\system32" といったディレクトリがあるのが普通である。しかし、OSX のシステムではファイルはそのように保存されていない」という感じでしょうか。（注：このウイルスは Mach-O 形式の実行ファイルにしか感染しない）

追記：Mac OS X でもほとんどの場合、アプリケーションは /Applications というディレクトリに置かれています。しかし、だからといって、/Applications でこのウイルスが実行されても、感染が広がることはありません。なぜなら、Mac OS X では通常アプリケーションは .app という拡張子になっていますが、この実体はただのフォルダだからです。実行バイナリはその中の階層を下っていったところにあります。/Applications に実行バイナリが並んでいる訳ではありません。

日本語での情報として、ウイルスバリア X4 [VirusBrrier X4] の「 Mac OS Xを標的とした新種のウイルスへの対応状況について」が公開されていました。

このコンセプト実証型ウイルスは、ハッカーのウェブサイトのみで公開されたもので、まだ世の中には解き放たれていません。

このウイルスは、CPUがIntelのOS Xコンピュータのみに感染します。Cソースファイル、アッセンブラ"ドロッパ"ファイル、そしてMac OS Xバイナリファイルに感染するウイルス開発の方法を説明する書類で構成されています。ソースコードをコンパイルすると、OS Xウイルス本体とドロッパの２つのバイナリが作成されます。ドロッパは、現在のマシンにインストールされたWindowsからMac OS Xバイナリファイルに感染することを目的としています。これはAppleのBoot CampあるいはParallels Desktop for Macのような仮想マシンアプリケーションの両方を指します。

ウイルスは、Mach-oバイナリファイルのみに感染し、UniversalあるいはPowerPCバイナリには感染しません。

Mach-o（Machオブジェクトファイル形式）は、Mac OS XのMachカーネルで実行するためのネーティブファイル形式です。このウイルスは、ペイロードを搭載していません。実行すると、名前や拡張子に関係なく、現在のディレクトリ内の他の実行ファイルに感染します。

OSX.Macarena のまとめ

ウイルス対策ソフトを売るためにわざとわかりにくく書いているわけではないでしょうが、以上ではいまいちわかりにくいと思います。そこで簡単にまとめてみます。

1. Intel マシン上の OS X でしか動かない（PowerPC マシンでは感染しない）
2. 名前や拡張子に関係なく感染すると言っても、実行ファイル（Mach-O 形式）にしか感染しない
3. Mach-O でも PowerPC バイナリや Universal バイナリには感染しない
4. 同一フォルダ内のファイルにしか感染しない

3番目がわかりにくのですが、文字通り解釈するなら、Intel バイナリのみで構成される Mach-O ファイルに感染し、Universal バイナリになっているファイル、（Rosetta 上で動くことになる）PPC バイナリのファイルには感染しないということになるでしょうか。

条件を並べてみると、感染力はかなり限定的なものと言えるでしょう。しかもソースファイルでしかありません。それを、ウイルスとして大々的に取り上げた Symantec に非難が寄せられたと見るべきでしょうか。

もちろん、これをもって Mac OS X にアンチウイルスソフトが不要だということにはなりませんし、どんなシステムでも、ウイルスに限らない悪意を持ったソフトウェア（マルウェア）が実行されてしまう可能性はあります。しかし、このコンセプト実証ウイルスをもって、これはMacにもウイルス対策が必要だという警告というほどには、インパクトはないもののように思えます（OS X だって他にもいろいろ脆弱性は発見されていますし）。今後、OSX.Macarena を元に、強化発展した悪質なウイルスが出てくる可能性はあるのかもしれませんね。

追記（11月10日）

maclalalaweblog にて、ZDNet Australia 発の「マックウイルスを作るのは難しい：Macarena」という記事が紹介されていました。

Mac OS X のコンセプト実証ウイルス［注：感染を広げられることを実証するために作られたコンセプトウイルス］が先週発見され、「Macarena」と命名されたが、そのコードにはマルウェアの作成が難しかったと窺わせるウイルス制作者のコメントがはいっている。

ここでもこのウイルスの感染能力が低いことが語られているのですが、実際、昨今話題の個人情報などのファイル流出事件は、ウイルスではなく P2P でダウンロードしてきた動画や画像ファイルを偽装したトロイの木馬を開いてしまったことが原因であるのがほとんどです。OS X でもトロイの木馬型のマルウェアは簡単に作れると思うので、正体不明のファイルには気をつけましょう。

個人的に危ないと思っているのは、インストーラパッケージです。拡張子が .pkg または .mpkg となっているものです。インストールに際して、管理者パスワードを要求するものが多いですが、インストーラはインストール実行時に任意のスクリプトを実行できますので、rm -rf / みたいなスクリプトが仕込まれていたら、致命的ではないかと思うんですけどね。

私は怪しいと感じるインストーラパッケージは、Pacifist（US$20 のシェアウェア・未登録でも15秒待てば使える）や unpkg（無料）のようなソフトを使って開くようにしています。Pacifist はインストール先を自由に変更したり、パッケージ内の任意のファイルだけを抜き出したりできる優れものです。

なお、インストーラパッケージに含まれる、以下のような名前のファイルがインストール時に実行されています。

• preflight （初回インストール、またはアップデート前に）
• preinstall （初回インストール前に）
• preflight （アップデート＝2回目以降のインストール前に）
• postinstall （初回インストール後に）
• postflight （アップデート後に）
• postflight （初回インストール、またはアップデート後に）

通常はインストールの可否の判断や、初期設定などのために使われています。shell や Perl のスクリプトであることが多いので、テキストエディタで開いて中身を確認できます。