INTEGOセキュリティ・アラート - 2007年11月21日
ユーザがMailで悪意ある添付ファイルを起動してしまう
Mac OS X Leopardの検疫機能のバグ

 

脅威:OSX.Exploit.MetaData.B

発見日:2007年11月20日

危険性:

解説:

Mac OS X 10.5、Leopardは、Mail、Safari、あるいはiChatを介して受け取ったアプリケーション、あるいはこれらのプログラム経由で届いたディスクイメージをユーザが開こうとすると警告する検疫機能を持っています。またユーザがアプリケーション・フォルダにインストールあるいは手動で追加した他のアプリケーションを初めて起動しようとしても警告します。このシステムは、このような起動可能なファイルを開こうとするあらゆる場面でユーザに通知するはずですが、2007年11月20日にHeise Securityが見つけたこの検疫機能のバグにより、Mailで受け取った、悪意を持つかもしれない添付ファイルをユーザが起動してしまう可能性があります。

この検疫システムを支える仕組みは、ユーザのMacに追加されたすべてのアプリケーションあるいは実行可能ファイルを記録するLeopardの起動サービス・データベースにあります。しかし実行可能ファイルが電子メールで届くと、この保護機能が期待通りに動作しません。現時点でのコンセプト実証の例は、拡張子.jpgを持つファイル内のシェルスクリプトです。このファイルには、どのアプリケーションを開くか(今回の場合は、ターミナル)を決めるリソースフォークといった情報を持っています。また、このファイルは、実行を可能とする必要な権限を持っています。

Mail内では、このファイルはJPEGアイコンを持つプレビューで開かれるべき添付ファイルとして表示されます。しかしクイックルックでこのファイルを見ようとすると、イメージファイルでないことが分かります:

dd

このファイルを受け取ったユーザは、クリックして、その中身を確認しようとするでしょう。今回のコンセプト実証では、ターミナルでちょっとしたテキストを表示するだけですが、ターミナルで実行されると、ユーザのすべてのファイルを削除する一行だけのコマンドが書かれた同様のファイルを作成するのは難しいことではないでしょう。

ユーザがMailで電子メールメッセージの添付ファイルをクリックすると、添付ファイルのコピーがユーザのライブラリ/メールダウンロード・フォルダに保管されます。そして、このフォルダは、Finderがその添付ファイルを開けるようにします。スクリプトとリソースフォーク(そのusroリソースがそのファイルをどのアプリケーションで開くかFinderに伝えます)を持つ悪意のある添付ファイルがMailで届いた際に、Mac OS Xの検疫警告が表示されることなく、ユーザはそのファイルを一度開くことができます。添付ファイルを後で開こうとした場合は、警告が表示され、添付ファイルがアプリケーションであり、ターミナルで開かれることがユーザに通知されます。

この現象の原因となっているバグは、Leopardが検疫機能を制御する方法に関係しています。ユーザが初めて添付ファイルを開く際、Mailは検疫システムを通さずにファイルを直接開くのです。その後に同じ添付ファイルを開いた場合は、Mailは直接添付ファイルを開かず、メールダウンロード・フォルダに保存しておいたファイルを開きます。

ユーザが同じ添付ファイルを持つ2通目のメッセージを受け取った場合、状況はさらに悪化します:まったく警告が表示されないのです。この添付ファイルは、違うメッセージに添付されていた同じものが、すでにメールダウンロード・フォルダに保存されているので、Mailはオリジナルの添付ファイルを開くのでなく、そのコピーを(<添付ファイル名>-1、<添付ファイル名>-2、などという名前で)作成して警告なしに開きます。

Mac OS X 10.5でこのバグが修正されるまで、Macユーザには、イメージファイルを装い、ユーザのすべてのファイルを削除したり、トロイの木馬を内蔵するかも知れない悪意を持って作成されたファイルを受け取るリスクがあります。見知らぬ送信者から来た添付ファイル、特に迷惑メールに添付されているものは開かないことが重要です。

Intego VirusBarrier X4とその2007年11月21日付けのウイルス定義ファイルは、この問題に対する保護を提供します。このバグは、悪意を持って作成されたファイルをMailで1度クリックしただけで実行できるため、今後登場するかもしれない新たな脅威から自らを守るために、ユーザはNetUpdateを使って定期的に新しいウイルス定義ファイルの有無を確認することをお勧めします。

Integoについて:

Integoは、Macintosh用のデスクトップ・インターネット・セキュリティおよび個人情報保護ソフトウェアを開発および販売しています。

Integoは、インターネットの危険からユーザとそのMacを守るあらゆる範囲のソフトウェアを提供しています。Integoの多言語対応のソフトウェアとサポートは、多くのMac関連誌から褒賞され、60以上の国で百万人以上のユーザを守り続けています。Integoは、米国、フランス、日本に事務所を設置しています。

インターネットの危険が増大する現在、Integoは、最新のセキュリティおよび個人情報に対する脅威から、ユーザとそのMacを守る新しいソフトウェアを開発するために日々尽力しています。

We protect your world.

home | contact