OS X Lionのマルウェア最新事情

Snow Leopard以降のOS Xにはマルウェア対策機構が装備されている。Leopard以降のサンドボックス機構とあわせて安全性を高めてはいるが、楽観的に考えるのは幻想となりつつある。

　あまり知られていないようだが、OS Xには前バージョンのSnow Leopard以来、マルウェア対策機構が装備されている（関連記事）。幸いなことに、OS Xにはマルウェアの標的として選ばれにくかった歴史があり、ユーザーも概してマルウェアへの危機意識が低い。

　楽観的でいられた理由はもうひとつある。OS Xでは、前々バージョンのLeopard以来「サンドボックス化」が進められてきた。ここでいうサンドボックスとは、プロセスがアクセス可能なリソース――ファイルシステムやネットワーク機能など――を制限、管理することにより不正な動作を防ぐというものだ。万が一、悪意のプログラムを実行してしまった場合でも、サンドボックス上で動作していれば、被害は限定的となる。その機構がLionで拡張されたことは、以前こちらの記事で少しだけ触れている。

　このサンドボックス機構は機能が限定的で（日を改めて解説したい）、鉄壁の構えとは言い難い。Mac App Storeで審査を経たアプリケーションといえど、セキュアであるとAppleにより裏書きされたとは言えない。マルウェア対策にしても然り、ユーザーはAppleのアップデータ配布をただ待つしかない。“OS X安全神話”が今後も続くという考えは、あまりに楽観的かつ受動的な幻想だ。

　実際、OS Xのマルウェア定義ファイル「XProtect.plist」の更新頻度が上がりつつある。Lionのリリース後間もない8月には、Flash Playerインストーラに偽装したトロイの木馬「OSX.QHost.WB.A」が発見された。9月にはPDFを偽装したマルウェア「OSX.Revir.A」と、やはりFlash Playerインストーラを装った「OSX.FlashBack.A」が報告されている。11月上旬にも、バックドアとトロイの木馬としての顔を持つ新種「OSX.DevilRobber.A」の存在が明らかになったばかりだ。

　いずれのマルウェアも、本稿執筆時点では「XProtect.plist」の更新により対策済みだが、Snow Leopardの頃に比べ出現頻度が高まっていることは確か。以前に比べると、マルウェアの存在報告からアップデータ配布までの間隔は短縮されているようだが……少なくとも我々ユーザーは、より「意識」しなければならないはずだ。
>>builder ［スポンサーリンク］