Macを標的にしたマルウェア「Flashback」の感染数は減少傾向に、シマンテック

Flashback感染台数の状況

　株式会社シマンテックは12日、Macを標的にしたマルウェア「Flashback」の推定感染数が、4月11日時点で27万台程度に減少したと公式ブログで伝えた。

　「Flashback」は、Macを標的としたマルウェアとして2011年に存在が確認され、Appleから発行されたと称するデジタル証明書を利用し、Flash Playerの更新ファイルに偽装しようとする手口により被害を拡大。さらに、Javaの脆弱性を悪用することで急速に感染を拡大した。

　シマンテックでは、しばらく前からMacもマルウェアの標的となっているが、今回のFlashbackは感染数が膨大な台数に上っている点が、従来とは一線を画していると指摘。Appleでは4月3日にJavaのセキュリティアップデートを公開したが、4月4日時点で感染したMacは推計55万台前後に達したとする、ロシアのセキュリティベンダー「Dr.Web」の報告を紹介している。

　シマンテックの調査では、Flashbackに感染したMacは4月6日には60万台に上っていたが、4月10日には38万台、4月11日には27万台程度と減少傾向にあるという。感染したマシンが存在する国の割合は、米国が47.3％、カナダが13％、英国が6.1％、オーストラリアが5.1％など。日本にも全感染数の1.9％のマシンが存在するという。

　Flashbackは、ドメイン名ジェネレーターのアルゴリズムを使用しており、コントロールサーバーに接続するために毎日新しいドメイン名を利用できることが判明している。シマンテックでは、これらのドメイン名を押さえておくことで、1週間にわたる感染の規模について統計データを収集できるようになっており、実質的にFlashbackがコントロールサーバーに接続してさらに指示を受信することはできなくなっているという。

　また、Flashbackの亜種で使われている個別のIPアドレスも多数判明しており、中でも.comドメインは3月26日と4月4日に登録されており、どちらの日付もFlashbackによる最近の攻撃の準備期間に該当すると指摘。これらのIPアドレスから悪質なコンテンツは現在は拡散されていないが、攻撃者集団が再度拡散に利用する場合に備えて、厳重な監視を続けているという。

　シマンテックでは、Macユーザーに対してソフトウェアアップデートの適用を呼びかけている。また、Mac OS X 10.5以前の環境については脆弱性が残っているため、Appleでは旧環境ではJavaを無効にすることを推奨している。

Flashbackの拡散状況	感染上位10カ国と全感染数に対する比率