|
AS.MW2004.Trojanトロイの木馬についてのMicrosoftとの質疑応答
Q:Microsoftでは、どのようにしてこのトロイの木馬に気づいたのですか?
A:Macintosh用セキュリティのスペシャリストであるIntegoからの連絡です。
Q:御社ではこのアイコンを使ってウェブからダウンロードできるファイルを提供していますか?
A: いいえ。Microsoftは、MW2004トロイの木馬と確認されたアイコンを使ったファイルをウェブでダウンロード提供していません。Microsoft Office 2004 for Macは、販売されたCDからのみインストールでき、正式なインストーラのアイコンはインストールウィザード内でのみ使われます。
Q:御社の顧客がOffice 2004をインストールする最善の方法はどのようなものですか?
A:Microsoft Office 2004 for Macは、販売されたCDからのみインストールでき、正式なインストーラのアイコンはインストールウィザード内でのみ使われます。お客様は、Microsoftによる製品の改良は必ずwww.microsoft.comからダウンロードするか、 Microsoft Office 2004 for Macの自動更新機能を使って入手しなければなりません。
Q:ピア・トゥー・ピア・ネットワークから該当するファイルをダウンロードした人は、それがMicrosoft Word 2004のパブリックベータだと思ったと言われています。Office 2004 for Macのパブリックベータは存在するのでしょうか?
A:いいえ。Office 2004のパブリックベータは存在しません。しかし同製品の試用版は近日公開されます。ただし必ずhttp://www.microsoft.com/macからダウンロードされなければなりません。
AS.MW2004.Trojanトロイの木馬についてのIntegoとの質疑応答
Q:Integoでは、どのようにしてこのトロイの木馬に気づいたのですか?
A:2004年5月10日に、このトロイの木馬のコピーを受け取りました。ファイルは、読者の一人からファイルを受け取った英国のMacworld誌の編集者から送られてきたものです。この読者は、ファイルがMicrosoft Word 2004のパブリックベータだと思ってGnutellaピア・トゥ・ピア・ネットワークからダウンロードしました。しかしアプリケーションをダブルクリックすると、彼のホームフォルダとその中身がすべて一瞬で永久に消去されてしまったのです。
Q:このトロイの木馬について、Apple、Microsoft、およびCERTには連絡しましたか?
A:はい、このトロイの木馬を調べ、その危険を確認してすぐに、Apple、Microsoft、およびCERTに連絡しました。我々はAppleおよびMicrosoftと密に連携し、早急にこのトロイの木馬に対処できるように、打ち合わせや電話会議を持ちました。
Q:Microsoftはこのトロイの木馬について何かコメントしましたか?
A:Microsoftのコメントは次の通りです。「Microsoftは、このアイコンを使ったウェブからダウンロードできるファイルを提供していないことを確認しました。このアイコンは、お客様が販売されたCDから製品をインストールする際にインストールウィザード内でのみ表示されます。Microsoftからのダウンロード・ファイルは、必ずwww.microsoft.comからダウンロードするか、 Microsoft Office 2004 for Macの自動更新機能を使って入手しなければなりません。」
Q:このトロイの木馬は、どのような仕組みで動作するのですか?
A:ユーザがファイルをダブルクリックすると、このトロイの木馬はAppleScriptコードを起動します。 このAppleScriptは、現在のユーザのホームフォルダおよびその中のファイルおよびフォルダを即座に削除するUnixコマンドを実行します。このコマンドは、ファイルをゴミ箱へ移動するのではなく、即座に削除してしまいます。警告も一切ないため、ファイルをダブルクリックしてしまったら、もう手遅れなのです。このAppleScriptは、ユーザがファイルとフォルダを削除するためのアクセス権を持っているユーザ自身のホームフォルダとその中身だけを削除するため、パスワードも要求されません。ユーザのホームフォルダというのは、Mac OS Xでユーザの個人的なファイルが保存されているフォルダです。このフォルダには、ユーザの名前と「家」のアイコンが付いています。フォルダ内には、ユーザの書類、ミュージックファイル、写真、ムービーなどに加え、使用しているアプリケーションの環境設定ファイルも保存されます。
Q:このトロイの木馬はMac OS Xのシステムファイルにも影響しますか?
A:いいえ、削除されるのはユーザのホームフォルダとその中身だけです。システムファイルを削除するには、管理者パスワードを入力が必要ですが、そのためにはトロイの木馬はそのためのダイアログを表示しなければなりません。
Q:このトロイの木馬はMac OS 9以前のMac OSにも影響しますか?
A:いいえ。ただしこのトロイの木馬がファイルを削除するのはMac OS Xでだけですが、Mac OS 9で実行されるとコンピュータをフリーズします。またMac OS 9では、AppleScriptは通常のAppleScriptアプレットのアイコンで表示されます。
Q:削除されたファイルを復活させる方法はありますか?
A:ファイルリカバリー・ソフトによっては、削除されたファイルの一部あるいは全部を復活できるかも知れませんが、最も確実な方法はインテゴのPersonal Backup X3のようなデータバックアップ・ソフトで自分のファイルをバックアップしておくことでしょう。インテゴのVirusBarrier Xは、トロイの木馬が起動した際の保護を提供しますが、ファイルの復活を行いません。
Q:どうやってこのトロイの木馬を見分ければよいのでしょう?
A:このトロイの木馬を見分ける唯一の手段は、その名前とアイコンだけです。このトロイの木馬は、カスタムアイコンがペーストされた単なるAppleScriptアプレットです。Finderの情報を見るコマンドでファイルを調べると、アプリケーションとして表示されます。ユーザは、インストーラだと思ってダウンロードしたわけですから、ここで不審に思うユーザはいないでしょう。また多くのアプリケーションは、ユーザがアプリケーションの一部あるいはモジュールを指定して、必要なファイルだけをダウンロードできるファイルサイズが小さい“ウェブインストーラ”を利用するので、ファイルサイズから正体に気づくこともないでしょう。
Q:このトロイの木馬は、自身で拡散しますか?
A:いいえ。このトロイの木馬は、拡散したり自己増殖しません。ユーザがウェブサイトやピア・トゥ・ピア・サービスからダウンロードした場合にだけ危険です。
Q:この仕組みで他のコマンドを使うことはできますか?
A:誰かが、同じく危険なコマンドを実行できる、異なる名前とカスタムアイコンを持った同様のAppleScriptを作成することを阻止することはできません。現在のところ、野に放たれているのはユーザのファイルとフォルダを削除するものだけです。Mac OS Xで起動しているMacintoshコンピュータ上の全ファイルを削除するようなコマンドも存在しますが、そのためには管理者パスワード入力が必要となります。しかしAppleのインストーラは、Mac OS Xでアプリケーションやアップデータをインストールする際にパスワードを要求するようにできていますから。ユーザがそれをインストーラだと思い込んでいたなら、パスワード入力に疑問は持たないでしょう。
このトロイの木馬は、Mac OS Xの重大な弱点を明らかにしました。OS Xは、Unixを基礎としているため、強力なiコマンドを簡単に実行可能です。これらのコマンドは、警告なしにユーザのファイルを削除したり破壊できます。 またAppleScriptは危険なコマンドに対する保護を提供していません。
Q:インストーラが危険かどうか調べる方法はありますか?
A:アプリケーションがAppleScriptかどうかを調べる一つの方法は、Finderでファイルを選択し、command+Iを押すことです。Finderの情報ウインドウが表示されますので、ウインドウ上部のアイコンをクリックしてdeleteキーを押します。このファイルがダブルクリックして実行可能なAppleScript(あるいはアプレット)なら、通常のAppleScriptアプレットアイコンが表示されます。 AS.MW2004.Trojanトロイの木馬についてのさらなる情報は、"http://www.intego.com/jp/news/pr4J.html"にあるプレスリリースを参照ください。
■評価版について プレス向けに各ソフトウェアの評価版が用意してありますので、レビューなどで必要でしたらお気軽に申しつけください。
# # # #
|
