IntegoTips Mac、Windows、そしてLinuxを狙うクロスプラットフォームのバックドアマルウェア

こんにちは、いつもact2ブログをご覧いただき、ありがとうございます。

SysJoker:

Mac、Windows、そしてLinuxを狙うクロスプラットフォームのバックドアマルウェア
（この記事は、2022年1月13日にJoshuaLong
（https://www.intego.com/mac-security-blog/author/joshlong/）
によってMacSecurity Blogに投稿された
SysJoker: Cross-Platform Backdoor Malware for Mac,Windows, and Linuxの翻訳です）

SysJokerは、最近発見されたMacを狙うマルウェアファミリーの一つです。
ただし、SysJokerはMacだけでなくWindowsやLinuxを実行するPCにも感染
するクロスプラットフォームのマルウェアです。

Integoは、このマルウェアの複数の構成要素をOSX/SysJoker.gen、
OSX/SysJoker.lct、Linux/SysJoker.A、そしてWin32/SysJoker.Aとして検出します。

この新しい脅威の特徴を見てみましょう。

■SysJokerは、どのように発見されたのか

Intezer（https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/）は、
SysJokerは「著名な教育機関のLinuxを使用するウェブサーバに対する激しい
攻撃の中で初めて見つかりました」とします。

MacおよびWindowsを狙う亜種は、その後に見つかったのです。このマル
ウェアが見つかったのは2021年12月ですが、同年後半のもっと早い時期から
稼働していた可能性があります。

■SysJokerに感染するとどうなるのか

SysJokerは、オペレーティングシステムのアップデート機能になりすまして
いますが、実際には感染したコンピュータからMACアドレス、ユーザ名、
そしてIPアドレスなど特定の情報を収集することがこれまでにわかっています。
そのため、その本来の目的は諜報活動、つまり被害者をスパイすることだと
考えられます。

macOS

SysJokerの基本となるコンポーネントは、TypeScript
（https://en.wikipedia.org/wiki/TypeScript）あるいはMPEGトランスポートスト
リーム（https://en.wikipedia.org/wiki/MPEG_transport_stream）ビデオファイルに
偽装され、types-config.tsと名付けられています。このファイルは、チップが
IntelでもApple独自のチップであるM1チップでも感染できるユニバーサル
Mach-O（https://en.wikipedia.org/wiki/Mach-O）バイナリです。

このマルウェアは、コンピュータの再起動後も積極的に感染し続けるための
技術を搭載しています。コマンド&コントロール（C&C）サーバーと通信できる
ため、追加の命令を受け取ったり、いつでも追加のコンポーネントをダウン
ロードして機能をアップグレードすることができます。

■SysJoker、あるいは他の脅威を除去する方法

残念なことに、AppleがmacOSに搭載する公証、Gatekeeper、XProtect、そして
MRTといった脅威を排除するための機能は、多くの脅威に対応できていません。
そのため、AppleによるmacOS保護機能だけでは不十分と言わざるを得ません。

関連記事: Do Macs need antivirus

software?（https://www.intego.com/mac-security-blog/do-macs-need-antivirus-software/）

IntegoのMac Premium Bundle X9やMac Internet Security

X9（https://www.act2.com/integostore）に含まれているIntego VirusBarrier

X9は、SysJokerマルウェアを検出および除去します。VirusBarrierは、Macの
専門家によって開発され、Appleの保護機能よりも多くのマルウェアからMacを
保護します。

お使いのMacが感染していると思われる場合、あるいは今後の感染から保護
したい場合は、IntegoVirusBarrierX9のようなリアルタイムスキャン機能を持ち、
信頼できるMac用のメーカが提供するアンチウイルスソフトウェアの導入を
検討してください。なお、VirusBarrierX9ならM1チップにネーティブなマルウェアや

クロスプラットフォームのマルウェアなどからもMacを守れます。ちなみに、Integoは

最近のAV-Comparatives

（https://www.av-comparatives.org/tests/mac-security-test-review-2021/#intego）
およびAV-TEST
（https://www.av-test.org/en/antivirus/home-macos/macos-bigsur/june-2021/intego-virusbarrier-10.9-215205/）
という２つの独立系の試験でMacを狙うマルウェアの検出率100%を記録しています。

注意: 古いMac OS XでVirusBarrier

X8、X7、あるいはX6を使うIntegoのユーザも、この脅威から保護されます。
とはいえ、Appleが提供する最新のセキュリティアップデートをお使いのMacに
適用するためにも常にmacOSを最新バージョンにアップグレードした上で、
最新のVirusBarrierを使うことをお勧めします。

■SysJokerが利用するドメインから現時点でわかること

Patrick

Wardleが指摘したように、このマルウェアがC&Cサーバとして使っていると
考えられるgraphic-updater[.]comというドメインは、23.254.131[.]176という
IPアドレスに解決されます。この火曜日の時点では、ブラウザでこのIPアド
レスに接続すると、次の図のようにウェブサーバに保管されているファイルの
一覧が表示されます:

https://www.intego.com/mac-security-blog/wp-content/uploads/2022/01/SysJoker-CC-server.png

興味深いのは、このサーバで実行されているApacheのバージョンが2.4.41と
いうことです。このApacheのバージョンは、元々2019年8月に公開されており、
多くの既知の脆弱性が存在します。そのため、マルウェアの開発者あるいは
配布者が、C&Cサーバとして悪用するために誰か別人のサーバをハッキング
して乗っ取ったということもあり得ます。

この木曜日の時点では、このIPアドレスでホストされているHTTPサーバは
オフラインになっています。さらに、Windowdsを狙うマルウェアを提供して
いたgithub[.]url-mini[.]comというサーバも今はオフラインで、GoogleもC&Cに
関連した２個のテキストファイルをGoogleDriveから除去したようです。

■セキュリティ侵害インジケータ（Indicators of compromise: IoC）

Macを狙う多くのマルウェアと異なり、このマルウェアはAppleが発行した
開発者IDで署名されていません。代わりに、types-config.tsファイルは
test-555549448174817ef4cf398d975b7860466eaec7という識別子による
アドホック署名を使っています。

以下のSHA-256ファイルハッシュは、このマルウェアキャンペーンと関連する
既知のSysJokerファイルのものです:

1a9a5c797777f37463b44de2b49a7f95abca786db3977dcdac0f79da739c08ac  macOS

a26c69d3221eaca93eb29f3c7b67bcccbaca18595211efd8a73324f0519e51e3* macOS

bd0141e88a0d56b508bc52db4dab68a49b6027a486e4d9514ec0db006fe71eed  Linux

d028e64bf4ec97dfd655ccd1157a5b96515d461a710231ac8a529d7bdb936ff3  Linux

1ffd6559d21470c40dcf9236da51e5823d7ad58c93502279871c3fe7718c901c  Windows

61df74731fbe1eafb2eb987f20e5226962eeceef010164e41ea6c4494a4010fc  Windows

*Integoによって初めて報告されたハッシュ

感染したMac上では、次のファイルとフォルダが見つかる可能性があります:

/Library/LaunchAgents/com.apple.update.plist

/Library/MacOsServices

/Library/MacOsServices/updateMacOs

/Library/SystemNetwork

~/Library/LaunchAgents/com.apple.update.plist

~/Library/MacOsServices

~/Library/MacOsServices/updateMacOs

~/Library/SystemNetwork

上の ~

記号は、例えば「/Users/username」のようなユーザのホームフォルダを
意味します。

次のドメイン、IPアドレス、そしてGoogle

Driveに保管されているファイルが、このマルウェアと関連していると考えら
れます。ネットワーク管理者は、2021年12月から現在までにネットワーク内の
コンピュータがこれらのサイトにコンタクトしたか調べると良いでしょう。

23.254.131[.]176

bookitlab[.]tech

github[.]url-mini[.]com

graphic-updater[.]com

office360-update[.]com

winaudio-tools[.]com

drive[.]google[.]com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn

drive[.]google[.]com/uc?export=download&id=1W64PQQxrwY3XjBnv_QAeBQu-ePr537eu

■SysJokerの別名

他のセキュリティソフトウェアのメーカでは、このマルウェアキャンペーンの
名称に次のような名前を含める可能性があります:

Backdoor:MacOS/SysJoker.A、Backdoor.Linux.SYSJOKER.YXCALZ、
Backdoor.OSX.SysJoker.gen、Backdoor.SysJoker!1.DB62、
Backdoor/OSX.Agent.360176、Backdoor/W32.SysJocker、
BehavesLike.Win32.Vundo.ch、BScope.Trojan.Occamy、E64/SysJoker.A、
ELF:Joker-A[Trj]、Linux.BackDoor.SysJoker、LINUX/Agent.roatu、
LINUX/Agent.xbpol、Linux/SysJoker.A!tr、Linux/SysJokr-A、
Mac.BackDoor.SysJoker.1、MacOS:Joker-A[Trj]、MacOS/SysJoker.A、
Mal/Generic-S + Troj/DwnLd-VP、Mal/Generic-S +

Troj/Steal-CFG、Osx.Backdoor.Sysjoker.Ahog、OSX.S.Agent.360176、
OSX/SysJoker.A!tr、RDN/Sysjoker、TR/Dldr.Agent.rukwx、TR/Redcap.rjsiq、
Trj/GdSda.A、TROJ_FRS.VSNTAC22、Trojan-Downloader.SysJoker、
Trojan:Linux/Vigorf.A、Trojan:Win32/Casdet!rfn、Trojan.Agent.SysJocker、
Trojan.Linux.OUTBREAK.USELVAC22、Trojan.Linux.SysJoker.B、
Trojan.MAC.SysJoker.A、Trojan.OSX.Agent、Trojan.OSX.SysJoker.m!c、
Trojan.Win32.Sysjoker、W32.Trojan.Sysjoker、
そしてWin32/SysJoker.Aです。

株式会社アクト・ツー
Software Product Team
一同

TTP15のファンテスト使ってますか？気づかず故障している場合も割とよくあります

こんにちは、いつもact2ブログをご覧いただき、ありがとうございます。

TechToolPro15には、様々なチェック機能が備わっています。

その中の1つに「ファンテスト」という項目があります。

これは、Mac本体の冷却ファンが正常に動作しているかどうかをチェックしてくれる機能です。

この冷却ファン、MacBookやMacBookProに搭載されている超小型のものなん
ですが、これが知らない間に故障している事がちょくちょくあります。

（私自身、2度も故障と遭遇しています。）

冷却ファンが故障していたとしても、Mac自体はいたって普通に動作しようとします。

実際、今の寒い時期ですと、冷却ファンがなくても、本体内部に極端に熱が
籠らなければ、何事もないように動作します。

ところが、プロセッサ負荷がかかった状態で放熱が多くなってきますと、本来
であれば冷却ファンが回って熱を排出する訳なんですが、これができない
状況が続きますと、CPUが熱暴走をしないため、自動的に速度を落としてしまいます。

それでも間に合わない場合、残念ながらOSはフリーズしてしまいます・・・

「最近、急にMacが遅くなったり、フリーズするんだよなー」といった場合、
ひょっとしたら冷却ファンが故障しているかもしれません。

そんな時は、TechToolPro15を使って、ファンが正常かどうかをチェックしましょう！

（万が一、冷却ファンに異常が見つかった場合は、早めの修理をおすすめします。）

TechToolPro15は、冷却ファンのチェックだけではなく、メモリテストやハー
ドディスクのテストなど、さまざまなテスト項目が搭載されていますので、
あなたがお使いのMacに異常がないかどうかを速やかにチェックすることができます。

「なんか最近、Macの調子がイマイチだよなー」

って時は、TechToolPro15でMacの総合診断を行いましょう！

　TechToolPro15（テックツールプロ）

　https://www.act2.com/ttp15

株式会社アクト・ツー

Software Product Team

1か月あたり「458円」で安心を手に入れる！

こんにちは、いつもact2ブログをご覧いただき、ありがとうございます。

今回のタイトルからすると、どこかの保険会社のCMみたいですが、そうでは
ありません。

Mac環境の「安心」を手に入れるお話しです。

みなさんご存じのとおり、パソコンの世界にも人間界と同じように「ウイルス」
というものが存在します。

いわゆる「コンピュータウイルス」「マルウェア」と呼ばれている類のものです。

数も非常に多く、数万種類と言われています。

もし、Macがコンピュータウイルスに感染した場合どうなるかと言いますと、
分かりやすい現象ですと、

・OSが起動しない

・OSやアプリの動作が重くなった

・アプリが不安定になった

・ファイルが勝手に消えた

などなど、色々ありますが、中には一見何も変化がない状態でも、実際には
ウイルスに感染しているというような状況があります。

非常に危険なコンピュータウイルスですが、残念ながらMacOSにはこれら
ウイルスからMacを守る機能が標準では備わっていません。

そこで、コンピュータウイルスからMacを守るためのアイテムとして
「セキュリティ対策ソフト」があります。

数あるウイルスソフトの中で、私たちact2が皆様にお薦めするソフトは
「Intego Mac Internet Security X9」です。

Intego社は、長年Mac用セキュリティ対策ソフトをリリースしており、中でも
Mac Internet Security X9は超定番の老舗ツールと言えます。

歴史が長いだけあって、

・高いウイルス駆除率

・安定した動作

・OSへの影響が少ない
　（Mac Internet SecurityをインストールしてもOSの動作がもたつかない）

といった特徴があります。

どれも「当たり前」のように見えますが、他社のソフトウェアでは、ウイルス
駆除率の低いソフトも存在しますし、ウイルス対策ソフトを入れたら「やたら
OSがフリースするようになった」「OS全体の動きが重くなった・・・」
という現象を引き起こすような、本末転倒なソフトもあります。

「Mac Internet Security X9」は、ただひたすら純粋に、あなたのMacを
コンピュータウイルスから守ります。

安心・安全、快適なMac環境を手に入れるためのツール、
それが「Mac Internet Security X9」です。

　Mac Internet Security X9

　https://www.act2.com/integostore

株式会社アクト・ツー
Software Product Team

iOSおよびiPadOSのAppプライバシーレポートを理解する

こんにちは、いつもact2ブログをご覧いただき、ありがとうございます。

 iOSおよびiPadOSのAppプライバシーレポートを理解する

（この記事は、2021年12月14日にKirkMcElhearn
（https://www.intego.com/mac-security-blog/author/kirk-mcelhearn/）
によってMacSecurity Blogに投稿された
Understanding iOS and iPadOS App PrivacyReportの翻訳です）

iOSおよびiPadOS15.2の新機能の一つに、Appプライバシーレポートがあります。
お使いのiPhoneあるいはiPadで、どのAppが自分の位置情報、連絡先、あるいは
写真にアクセスしたか、どのAppがトラッキングするサービスとコンタクトする
ネットワークやWebサイトにアクセスしたか、などなどAppの動作を記録し、
過去７日間の記録の詳細を確認できるのです。

この記事では、AppプライバシーレポートをONにする方法とそこに表示される
データの見方を説明します。

■Appのプライバシー

Appleは、最近になってユーザのプライバシー保護を強化し、どのAppがユーザの
データを利用しているか明確にする情報を提供するいくつもの機能を公開
しました。まず最初の機能がAppleがそのAppStoreに導入したAppのプライバ
シー情報です。macOS 11.1およびiOS14.3が公開されて以降のすべてのAppの
アップデートで、次の画像のようにプライバシー情報を表示することが必須に
なりました。

https://developer.apple.com/jp/app-store/app-privacy-details/

こうした「成分表示」は、Appがどのような種類のデータを収集しているか
分かりやすくすることを目的としています。さらに、iOSおよびiPadOS15.2
以降では、データがどのように使用されるかを確認することもできます。
この機能をONにするには、設定 > プライバシー > Appアクティビティを記録を
開き、Appアクティビティを記録のスイッチを切り替えます。すると、お使いの
端末がレポートを生成するまで７日間必要である旨が通知されます。なお、
お使いのiOSあるいはiPadOSが15.2より古い場合、レポートは表示できず
データの保存だけが可能ですが、長くてあまり役に立たないログが保存される
だけなので利用はお勧めしません。

iOSあるいはiPadOS 15.2以降なら、設定 > プライバシー > Appプライバシー
レポートが表示されます。この機能をONにしてから数日経ったら、次の
画像のような情報が確認できるようになります。

https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/app-privacy1.png

このレポートにはいくつかのセクションがありますが、いずれも直近の
７日間のデータを表示します:

データとセンサーアクセス:

どのAppが位置情報、写真、カメラ、マイク、そして連絡先などにアクセスした
かが表示されます。

Appのネットワークアクティビティ: どのAppがネットワーク（通常はインター
ネット）にアクセスしたか表示します。

メッセージやKindleがネットワークにアクセスするのは想定内ですが、上図
ではHighRiseというゲームが頻繁にネットワークにアクセスしていることが
わかります。AppStore、Safari、News、Twitterクライアント、
AmazonのPrime VideoAppなどの他のAppがインターネットからデータを取得
していることもわかります。

下にスクロールすると、次の図のようにさらに２つのセクションがあります。

https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/app-privacy2.png

Webサイトのネットワークアクティビティ:

特定のWebサイトがよくコンタクトするドメインを確認できます。Webサイトは
開かれた際に複数のドメインからデータを読み込みますが、そうした多くの
ドメインは広告を表示していたり、収集したデータをトラッカーに提供して
います。Webサイトの隣の数字は、直近の７日間にすべてのドメインがコンタ
クトされた合計数を表します。ですので、この数字が大きいからといって
そのWebサイトがより多くのデータを収集していることにはなりません。
単により頻繁に訪問しただけということもあり得ます。この画像で上位のWeb
サイトは、私が定期的に訪問しているThe Guardian newspaperで、次が
Amazon UK、the New YorkTimes、そしてGoogleとなっています。

例えば、The Guardianをタップすると次の図のようにさらに情報を表示します。

https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/app-privacy3.png

この図では、私がtheguardion.comを51回訪問していることがわかるとともに、
TheGuardianがコンタクトしたドメインのリストも表示されますし、このWeb
サイトを訪問するために使ったAppも表示されます。例えば、リストに
Twitterrificがありますが、これはTheGuardianの記事を表示するためにApp内の
リンクをタップしたからです。一方で、私がよく使っているTheGuardian自身の
Appは、Appネットワークアクティビティリストには表示されているのに、
なぜかここには表示されていません。

このリスト内のドメインの一つをタップすると、どのAppがコンタクトした
かがわかります。ほとんどの場合、SafariかほかのWebブラウザか、App内で
Webページを表示する機能を持つTwittertクライアント、RSSリーダ、あるいは
Webページを表示するなんらかの機能を持つほかのAppが表示されるでしょう。

そして、こうした情報は巨大企業が所有する特定のドメインについて調べ始め
ると、より興味深くなります。例えば、私が14回訪問したinstagram.comを
見ると（私はInstagramをSafariで見ています）、connect.facebook.netを含む
複数のドメインにコンタクトしていることがわかります。そのドメインを
タップすると、次の画像のような情報が確認できます。

https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/app-privacy4.png

connect.facebook.netは、ユーザがFacebookのプロフィールを使ってWebサイ
トにログインできるシステムです。Webサイトがこの機能を持っている場合、
必ずこのドメインにコンタクトします。上の図を見ると、Twitterrificおよび
SafariでそんなWebサイトを訪問しており、そうしたWebサイトがこのドメイ
ンにコンタクトしていることがわかります。
（reductress.comが何か分かりません: このサイトを訪問したことがないので、
　このサイトから何かがWebページ内に読み込まれたのでしょう。ちなみに、
　設定 > Safari > 詳細 > WebサイトデータからSafariのWebサイトデータも
　チェックしてみましたが、リストされていませんでした）

最もコンタクトされたドメイン:

お使いの端末が最もコンタクトしたドメインです。サードパーティのAppが
起動する際、そのAppを使う権利があるかどうか確認するために接続するドメ
インだと思われるiCloudドメインやinappcheck.itunes.apple.comが表示されて
いるのは当然でしょう。このセクションには、個人情報やサブスクリプション
などを確認するために通信する多くのドメインが表示されます。

■これだけでは終わりません...

上のデータを見ると、トラッカーを含む多くのドメインがあることに驚くで
しょう。しかし、このすべてのデータは私がコンテンツブロッカーを使って
いた際の記録なのです。
（コンテンツブロッカーについては、この記事を参照ください:

https://www.intego.com/mac-security-blog/ad-blockers-the-good-the-bad-the-ethics/）
試しにブロッカーをOFFにしてSafariでGoogleNewsを開き、いくつかの記事を
タップしてみると、次の図のようにWebサイトネットワークアクティビティの
内容に違いが出てきます。

https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/app-privacy5.png

単に１ページか２ページを読み込んだだけで、mail.co.ukやforbes.com、英国
内のほかのニューズペーパーサイトが、50以上の、場合によっては100以上の
ドメインにコンタクトしています。pagead2.googlesyncidaciotn.comを例に
とると、次の図のドメイン名の説明を読む限り、私のデータをプロフィールに
統合しているようです。

そして複数のWebサイトにわたって私のことをトラッキングしているのです。

https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/app-privacy6.png

上の図でわかる通り、６個の異なるニューズペーパーサイトが、広告を提供する
ためにGoogleが使っているこのトラッカーにコンタクトしています。

■Appプライバシーレポートからわかること

ここまでで説明したように、Appプライバシーレポートには多くのデータが
表示され、分かりにくい部分もあります。しかし、一つのことは明らかです。

コンテンツブロッカーを使うと、ユーザのアクティビティから収益を上げて
いる広告を販売する企業によるトラッキングは減るということです。Appleの
インテリジェント・トラッキング防止機能（IPP）機能はトラッカーをブロック
しようとしますが、まだ十分ではないということなのです。

Appプライバシーレポートを使えば、どのWebサイトやAppが最もユーザを
トラッキングしており、その行動に影響を与える可能性があるか知ることが
できます。コンテンツブロッカーやトラッカーブロッカーを使うことで、どこ
かの会社がユーザのアクティビティからプロフィールを構築することを防ぎ、
ユーザのプライバシーを強化することができるでしょう。