今回はOSX_DNSCHAN.AとUNIX_DNSCHAN.Aを取り上げる。2007年11月,主にアダルトなど複数のサイトにおいて動画再生のためのプログラムに偽装して配布された不正プログラムである。その手口は,ユーザーが動画を再生しようとすると「プラグインがないため再生ができません。ここをクリックしてプラグインを入手してください」というメッセージが表示され,実際には不正プログラムがダウンロードされるというものであった。このような攻撃は,以前より存在が確認されていたが,多くの場合攻撃の対象はWindows OSであった。

 しかし,今回取り上げる事例は,Windows OSだけではなくMac OS Xも対象となった攻撃である。と言っても一つのバイナリ・ファイルがどちらのOS上でも動作するということではなく,ユーザーが利用しているブラウザによってそれぞれのOSで動作する不正プログラムがダウンロードされるというものである。Mac OS XであればOSX_DNSCHAN.A,Windows OSであればTROJ_ZLOB.GAFといった具合だ。

 今回の攻撃に使用された不正プログラムの目的は,感染コンピュータのDNSサーバーの設定を変更し,ファーミング(Pharming)と呼ばれる詐欺行為を行うことである。ファーミングとは,オンライン銀行やオンライン店舗の偽サイトをあらかじめ作成し,不正プログラムなどでDNSサーバーの設定を書き換え,ユーザーが正規のURLを入力しても偽サイトに接続する状況を作る。結果,暗証番号やクレジット番号などの個人情報を不正に詐取する詐欺行為のことである。

 今回は,検証環境用に1台のコンピュータを用意した。テスト機1にはMac OS X がインストールされたiMacを用意した(図1)。続いて,テスト機1上でOSX_DNSCHAN.Aを実行した(図2)。

図1●今回検証した環境
図1●今回検証した環境
テスト機上でOSX_DNSCHAN.Aを実行。テスト機に登録されたDNSサーバーのIPアドレスが変更されるかを観察する
図2●テスト機1上でOSX_DNSCHAN.Aを実行
図2●テスト機1上でOSX_DNSCHAN.Aを実行

 Install.pkgを実行するとMacCodecの使用許諾契約画面が表示される。MacCodecのインストールと表示されるが全くの嘘であり,実際にはOSX_DNSCHAN.Aが実行される(図3)。

図3●OSX_DNSCHAN.Aの使用許諾契約画面
図3●OSX_DNSCHAN.Aの使用許諾契約画面

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら