米Appleは5月24日(現地時間)、このところMacをターゲットにしたマルウェアの報告が相次いでいることを受け、ユーザーに対して注意を喚起するとともに、その対処方法を解説した文書を公開した。少し前までは「ウイルスの類が少ない」ことがセールスポイントの1つだったMacだが、近年のシェア増加を受けてハッカーらの攻撃ターゲットとなりつつあり、Appleもこういった動きを警戒しなければならなくなったようだ。

最近報告が相次いでいるMac向けマルウェア(悪意のあるソフトウェア)の中でも著名なのが、Webサイトをブラウズしていると突然ポップアップウィンドウが開いて「このマシンはウイルスに感染している」という警告を出し、その対策ソフトウェアのダウンロードと導入をうながす「スケアウェア(Scareware)」と呼ばれるものだ。文字通り、相手に恐怖を与えて判断力を失わせる、あるいは無知を利用してフィッシングサイトへと誘導する。その究極の目的は「アンチウイルスのソフトウェア」に見せかけたマルウェアを購入させ、さらにその過程で得たクレジットカード情報や個人情報を入手することだ。ボットネットやキーロガーとして利用される可能性もあるが、近年のマルウェアは金銭獲得を目的とした攻撃が中心であり、何より即座に金銭に変えられる個人情報の入手が第一目的だと考えられる。

今回Appleが公開した文書で警告されているのは、この「アンチウイルスソフトに見せかけたマルウェア」で、「MacDefender」などの名称を名乗っている。名前としてはこのほかに「MacProtector」「MacSecurity」といったものも存在するようで、さらに中身の異なる変種の存在も報告されている。

同社ではMac OS X 10.4/10.5/10.6のユーザーを対象に数日中にもアップデートを提供し、これらのマルウェアへの対策が可能になるよう対応する予定だという。このアップデートではMacDefenderやその亜種を自動的に発見・削除し、さらにこの種のソフトウェアのダウンロードが行われる際にはユーザーに警告を出す仕組みが導入されるという。またアップデート提供と同時に、この種のマルウェアを避ける一般的な手順、そしてすでにダウンロードしてしまったユーザーに対する削除方法も示しているので、簡単にその方法をご紹介する。

マルウェアのダウンロードを避ける方法

基本的にはマルウェアはWebブラウジング経由でやってくるため、危険を感じたらSafariまたは使用中Mac用ブラウザを終了すればいい。場合によってはポップアップウィンドウがその動作を邪魔する可能性があるが、その場合はAppleメニューから「強制終了」を呼び出し、そのWebブラウザを強制終了させる。

またマルウェアによっては、同意を求めずに強制的にダウンロードとインストールを開始するものもある。その場合はインストールを中断させ、「ダウンロード」フォルダにある当該アイテムをゴミ箱にドラッグして削除する。マルウェアであろうと、基本的にはインストールには管理者パスワードが必要になるため、ここでパスワードさえ入れなければとりあえずインストールは防げる。

なお、Appleの文書をそのまま読むと「パスワードさえ入力しなければ大丈夫」と考えてしまいがちだが、実際にはそうでもないようだ。このタイプのマルウェアは本稿を執筆している間にも進化を続けており、例えばSophosとESETは「パスワードなしで自身のインストールが可能」なMacDefenderの変種が登場したことを数時間前に報告している。つまり、簡単にガードを突破される可能性があるわけで、ユーザーとしてはまずWebのブラウズに細心の注意を払わなければならないだろう。

マルウェアのインストールが実行されてしまった場合

前述のようにマルウェアの第一目的はクレジットカードなど個人情報の入手にあるため、いかなる状況であろうともこの種の情報をマシンに入力してはならない。この点に留意したうえで、次の手順でマルウェアの削除を行う。

  1. マルウェアの「ウイルススキャン」ウィンドウを閉じる、または作業の邪魔にならない位置に移動する
  2. MacのシステムHDDから「アプリケーション」フォルダ内にある「ユーティリティ」フォルダを開き、「アクティビティモニタ」を起動する
  3. アクティビティモニタ上部のリストから「すべてのプロセス」を選択する
  4. 表示されたプロセス一覧から「MacDefender」「MacProtector」「MacSecurity」といた名称のプロセスを探して選択し、ウィンドウ左上にある「プロセスを終了」ボタンをクリック。さらに[終了]ボタンをクリックして終了させる
  5. 作業が完了したらアクティビティモニタを終了する
  6. 次に先ほどの「アプリケーション」フォルダ内にある「MacDefender」「MacProtector」「MacSecurity」の名称のアプリケーションを探し出し、ゴミ箱へドラッグして削除する

アクティビティモニタで当該プロセスが動作していないか確認する

マルウェア削除の作業自体はこれで完了だ。ただし、マルウェアによっては起動プロセスで自身を実行させる仕組みを用いている場合があるため、この部分のゴミ掃除もしておいたほうがいいだろう。

  1. Appleメニューから「システム環境設定」を起動して「アカウント」を選択し、「ログイン項目」として登録されている項目を確認する
  2. この中に先ほどの「MacDefender」「MacProtector」「MacSecurity」といった名前があった場合は、その項目を選択してリスト下部にある「-」ボタンをクリックし、アイテムを削除する

ログイン項目に登録されていないかチェック

以上で完了だ。マルウェアをインストールしていないユーザーは、回避策をアタマに入れて、アップデートの提供を待つといいだろう。ただ、こういったMacを狙うマルウェアの急増は、今後Appleが対応を迫られる事態が増えることを意味している。過去の経緯からノーガード戦法のユーザーが多いとみられるMacだが、今後はApple自身の対策を含め、ユーザーによるサードパーティ製品の導入、マルウェアへのさらなる警戒が必要とされるだろう。