|
MP3Conceptトロイの木馬についての質疑応答
2004年4月9日 - Macintosh向けのセキュリティソフト専門メーカーである仏Intego社は、Mac OS Xを対象とした初のトロイの木馬からMacユーザーを守るために、同社のアンチウイルスソフトウェア、Intego VirusBarrier用のウイルス定義ファイルを更新したことを発表しました。このページでは、質疑応答の形で、このトロイの木馬がどのように動作するのかを含めた追加情報を提供します。
Q:なぜIntegoは、Mac OS Xを対象としたトロイの木馬に関して発表を行うことにしたのですか?
A:Integoが隔離したこのトロイの木馬の最初の版は無害でしたが、この技術はさらに重要な危険性の扉を開くものでした。それは判別が困難で、しかも危険な技術です。そして我々のユーザーを保護することは、Macintoshのセキュリティ・ソリューション提供者である我々の責務です。他のセキュリティメーカーと異なり、実際に危険が顕在化するまで待つことは我々の方針ではありません。Intego Virus Security Laboratoryは、このトロイの木馬を検出し、そのコードの実行を阻止する方法を素早く発見しました。そして我々のユーザーへのコミットメントとして、これを我々のIntego VirusBarrierの最新ウイルス定義として公開するのはまったく自然な判断なのです。もっとも当初はこの情報の公開をためらいましたが、最終的にはこのセキュリティに対する危険についてユーザーに警告することが我々の責任だと結論したのです。なお、このトロイの木馬についての情報はIntegoが最初に公開しましたが、SymantecおよびMcAfeeも我々のプレスリリース公開以降にそれぞれのアンチウイルスソフトウェアのアップデータを公開しています。しかし、これらのメーカーは、このアップデートが今回のトロイの木馬から保護するものなのか詳細に説明していません。
Q:これは、がせなんですか?
A:もちろん違います。以下で説明しますが、これは重要なセキュリティへの危険で、真剣に対処を検討されるべきものです。がせとは、有りもしない危険で人々を虞れさせるために流される、真実ではないものです。このトロイの木馬は存在します。我々は、そのサンプルも持っており、危険性を秘めています。
Q:しかし、このトロイの木馬、少なくともそのサンプルは、無害だとされています。心配要らないのでは?
A:我々の知る限り、このトロイの木馬は、今のところ無害です。しかし悪意のあるハッカーが危険なトロイの木馬を作成するために同じ技術を使うことを防ぐ手だてはありません。このトロイの木馬のコードを調べたところ、ファイルを削除したり、Mac OS Xの設定を変更するものではないことが分かっていますが、現時点では、このトロイの木馬が何をしようとしているのか明確に知ることも、将来何か別の動作を行うのか、はっきりと知ることはできないのです。いずれにしろ、今ユーザーを守る方が、後で危険に気づいて慌てて対応するより良いことは明らかです。
Q:このトロイの木馬について、どのように知ったのですか?
A:それは2004年4月6日の午前11時16分に、我々のカスタマーサポート宛に電子メールを送ってきたユーザーからの情報でした。このユーザーは、このトロイの木馬に関する情報を提供してくれたのです。このユーザーは、同じメッセージをApple、Symantec、そしてMcAfeeにも送っていました。
Q:Mac OS Xでは、ファイル名を変更するだけで、他のファイルタイプのファイルにアプリケーションを“隠す”ことができることは、すでに知られていました。なぜこのトロイの木馬が、例えばSong.mp3のように名前を変更されたアプリケーションと異なるのでしょう?
A:まず、Mac OS XはCocoaとCarbonという2種類のアプリケーションを実行します。Cocoaアプリケーションは、OS Xのネーティブアプリケーションで、.appという拡張子を持ちます。Cocoaアプリケーションは、実はコード、リソース、画像、などのプログラムを構成する要素が保管されたフォルダです。.appという拡張子は、Mac OS Xにアプリケーションがネーティブで実行されることを教えます。Carbonアプリケーションは、ちょっと違います。ほとんどのCarbonプログラムは、Mac OS 9でもMac OS Xでも使えます。そのため、.appという拡張子を必要としません。Carbonプログラムは、carbとcfrgという2つのリソースを持つので、Mac OSはこれが実行可能なアプリケーションであると判断できます。carbリソースは、これがCarbonアプリケーションであることを意味し、cfrgリソースはファイルのデータフォークにある実行コードの場所を示します。このトロイの木馬は、実際は上記の2つのリソース(carbとcfrg)が追加されたMP3ファイルです。そしてMP3ファイルのID3タグがトロイの木馬の実態であるコードを保管し、cfrgリソースがファイルのデータフォーク内のその場所を指し示しているのです。(注意:ID3タグはMP3ファイルの一部で、ソングタイトル、アーチスト、そしてアルバム名などを保管するために用意されています。このようなタグは、AACファイルにも存在します。)
Q:トロイの木馬は、実際のところ、どのように動作するのでしょう?
A:ユーザーがファイルをダブルクリックすると、Mac OS Xはcarbとcfrgリソースを見つけ、それがアプリケーションだと判断して起動します。cfrgリソースはID3タグに保管されている実際のコードの場所を示すことで、このコードを実行させます。続いてアプリケーションは、AppleEventを使ってiTunesを開いて起動し、そのMP3ファイルに保管されているサウンドを再生します。
ファイルのID3タグ内のコードは、さらに処理を続けます。現在のトロイの木馬は、自身が実はアプリケーションであることを告げる警告を表示します。このようなトロイの木馬は、Mac OS Xで実行できるあらゆるアプリケーションを起動できます。
Q:ファイルにコードを隠すという方法について、世間では混乱があるようです。もう少し詳しく説明して頂けますか?
A:プレスリリースにも書きましたが、危険な可能性がある本体のコードは、MP3ファイルのID3タグに保管されています。このタグは、普通はソングについてのコメントが書かれているわけですが、このトロイの木馬では、このタグに実行可能なコードが書かれているのです。前述の通り、cfrgリソースはファイル内のどこにこのコードが保管されているかを示しています。
Q:このようなトロイの木馬は、Mac OS Xに対してどんな損害を与えられるのでしょう?
A:幸運にも、ユーザーがrootとしてログインしていない限り、システムファイルはファイルに適用されるアクセス権に守られているので、この種のトロイの木馬が損害を与えることはありません。しかし、ユーザーの個人的なファイルは一部あるいは全部を削除することもできると考えられます。ユーザーがrootとしてログインしていたら、この主のトロイの木馬はシステムファイルも削除できるでしょう。またこの主のトロイの木馬は、誰でも保存されているファイルが扱えるように、ユーザーがアクセス権を無効にしていることが多い外接ハードディスク上のファイルも簡単に削除できます。
Q:このトロイの木馬は、どのように拡散するのでしょうか?
A:このトロイの木馬は、色々な経路で拡散します。ただしユーザーがインターネット、サーバー、あるいはウェブサイトからファイルをダウンロードする場合は、何らかの方法で圧縮されていなければなりません。Mac OS X 10.3のFinderで作成されたら、zip圧縮されているでしょうし、Stuffit圧縮の場合もあるでしょう。このトロイの木馬は圧縮されないままダウンロードされると除去されるリソースを含むため、圧縮が必須なのです。またbinhexエンコードされていても、リソースは維持されます。ファイルが圧縮あるいはエンコードされていない状態でも、LAN内のMac間あるいはiDIskからはコピーまたはダウンロードできます。誰かがトロイの木馬と気づかずに他のユーザーに電子メールでこのファイルを送付した場合は、そのままの状態で受信される可能性が高いでしょう。例えばAppleのMailやMicrosoftのEntourageは、初期設定のままでファイルをエンコードしますので、トロイの木馬が動作するために必要なリソースも一緒に送信されます。
Q:このトロイの木馬は、AppleのiTunesの弱点を利用しているのでしょうか?
A:いいえ、iTunesはまったく無関係です。iTunesはトロイの木馬に含まれるMP3ファイルのオーディオ部分を再生しますが、それ以外の処理は行いません。
Q:JPEGやGIFファイルなどの他の型式のファイルでも同じ仕組みが使えるそうですが、どうやるのでしょう?
A:JPEGやGIFなどのファイルは、MP3ファイルと同様のタグを持っています。このようなタグにコードを隠すことができれば、ファイル内のコードの場所を示すcarbおよびcfrgリソースを追加するのは簡単です。
■評価版について プレス向けに各ソフトウェアの評価版が用意してありますので、レビューなどで必要でしたらお気軽に申しつけください。
# # # #
|
