Mac OS XでFlashback Trojanを確認する方法

アップデート： Appleは、自動検出機能とFlashback除去機能を備えたJavaソフトウェアアップデートをリリースしました。Appleメニューのから「ソフトウェア・アップデート」にアクセスしてアップデートをダウンロードし、Macにトロイの木馬が侵入している場合は自動的に削除してください。

トロイの木馬やウイルスは、一般的に Mac ユーザーが心配する必要のないものですが、世界中で数十万台の Mac が感染したと思われる、いわゆる Flashback トロイの木馬については大きな騒ぎになっています。このトロイの木馬は、古いバージョンの Java の脆弱性を悪用してマルウェアをダウンロードし、「Web ブラウザに表示される対象の Web ページを改ざん」します。昨日 Twitter でお知らせしたように、この脆弱性はすでに Apple によって修正されています。OS X 用の最新バージョンの Java をまだダウンロードしていない場合は、今すぐダウンロードしてください。ソフトウェア・アップデートに移動し、お使いの Mac OS のバージョンに応じて、Java for OS X Lion 2012-001 または Java for Mac OS X 10.6 Update 7 をインストールしてください。これにより将来の感染は防げますが、Mac が感染しているかどうかを確認することもお勧めします。

Mac で Flashback が感染したという事例はまだ聞いたことも見たこともありませんが、セキュリティを最大限に高めるために、Mac が Flashback トロイの木馬に感染しているかどうかを素早く確認する方法を説明します。

• ターミナル (/Applications/Utilities/ にあります) を起動し、次のコマンドを入力します。

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

• 「 (/Applications/Safari.app/Contents/Info, LSEnvironment) のドメイン/デフォルト ペアが存在しません」のようなメッセージが表示された場合は、ここまでは問題なく、感染は発生していないため、次の defaults write コマンドに進み、さらに確認します。

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

• 「 (/Users/joe/.MacOSX/environment、DYLD_INSERT_LIBRARIES) のドメイン/デフォルト ペアが存在しません」のようなメッセージが表示された場合は、 Mac は感染していません。

ターミナルで何か違うものが表示された場合はどうすればいいでしょうか？デフォルトの読み取りコマンドで「存在しません」という応答ではなく実際の値が表示される場合、トロイの木馬に感染している可能性がありますが、これは非常に稀なケースです。もしMacでこの問題が発生した場合は、f-secureのガイドに従ってFlashbackトロイの木馬を削除してください。ターミナルにいくつかのコマンドをコピー＆ペーストするだけです。

全体的に見て、これはそれほど心配するほどのことではありませんが、一般的なメンテナンスの一環としてシステムソフトウェアをアップデートすることがなぜ重要なのかを改めて認識させてくれるものです。セキュリティ対策をさらに強化したい場合は、Macのウイルス感染、マルウェア、トロイの木馬を防ぐための簡単なヒントをまとめた記事をご覧ください。