先日、Flashbackというトロイの木馬が約60万台のMacに感染したというニュースがありましたね。Macだからウイルスには感染しないなんて昔の思い込みを持っていたら危ないですね。今はWindowsだけでなくMacもウイルスに感染するという意識を持ってきちんとセキュリティ対策を行う必要があると思います。
FlashbackはFlashプレイヤーのインストーラーに見せかけたマルウェアで、インストールしてしまうと個人情報を盗まれてしまいます。
感染している主な国は
アメリカ 56.6%
カナダ 19.8%
イギリス 12.8%
オーストラリア 6.1%
日本 0.1%
と日本ではわずかですが、一応自分も感染していないか気になるのでチェックしてみました。Flashbackに感染していないかのチェック方法はターミナルで行います。
このFlashbackはブラウザのSafariかFirefoxからしか感染しないため、
Safariであれば
「defaults read /Applications/Safari.app/Contents/Info LSEnvironment」
Firefoxであれば
「defaults read /Applications/Firefox.app/Contents/Info LSEnvironment」
とターミナルに入力し、それぞれ以下のメッセージが表示されれば感染していません。
Safariの場合
「The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist」
Firefoxの場合
「The domain/default pair of (/Applications/Firefox.app/Contents/Info, LSEnvironment) does not exist」
そしてもう1つ第2のチェック方法があり、こちらもターミナルで
「defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES」
と実行し、以下のメッセージが表示されれば感染していません
「The domain/default pair of (/Users/ログインアカウント名/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist」
万が一上記のメッセージが表示されずに感染していた場合は、以下の方法でFlashbackを除去できます。
まずSafariかFirefoxで感染していた場合
① 「defaults read /Applications/%SafariかFirefoxと入力%.app/Contents/Info LSEnvironment」
第2チェックで感染していた場合
「defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES」
② そして、先ほどの結果から「DYLD_INSERT_LIBRARIES」の記述を探し指定されているファイルパスをメモする
③ メモしたファイルパスを%path_from_previous_step%に当てはめ、以下のコマンドを実行する
「grep -a -o ‘__ldpath__[ -~]*’ %path_from_previous_step%」
④ 結果からリストアップされたファイルパスをメモする
⑤ ②と④でメモしたファイルを削除する
⑥ SafariかFirefoxで感染していたら
「sudo defaults delete /Applications/%SafariかFirefoxと入力%.app/Contents/Info LSEnvironment」
「sudo chmod 644 /Applications/%SafariかFirefoxと入力%.app/Contents/Info.plist」
第2のタイプで感染しているならば
「defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES」
「launchctl unsetenv DYLD_INSERT_LIBRARIES」
を実行すればOKです。
この脆弱性は2012年の4月3日に、Appleのアップデートで修正されていますので、常にシステムを最新に保つように意識し、Macであってもウイルス対策ソフトは導入しておいた方がよさそうですね。
