TorrentFreak

オープンソースのBitTorrenrtクライアントTransmissionの最新ビルドに、OS XのKeychain情報を盗み、バックドアを仕込むマルウェアが発見されたとESETの研究者が報告している。Transmissionチームは調査の結果、サーバが攻撃を受けていたことを公表し、セキュリティを強化するための対策を講じるとしている。

先月、ITセキュリティ企業ESETが新たなOS Xマルウェアについて報告した。OSX/Keydnapと呼ばれるこのマルウェアは、OS XのKeychain情報を盗み、バックドアを仕込むよう設計されていた。

このマルウェアを報告したESETのブログ記事では、OSX/Keydnapの感染ルートについては不明だとしながらも、スパムや信頼性の低いウェブサイト、「その他」からダウンロードされたものではないかと推測している。

「私たちが把握している限りでは、ダウンローダーコンポーネントは、.zipファイル形式で配布されています。そのアーカイブにはMach-O実行ファイルが含まれており、その拡張子は一見すると.txtや.jpgのような一般的な拡張子がつけられています。しかし、その拡張子の末尾にはスペース文字が含まれており、本当の拡張子ではありません。Finder内でファイルをダブルクリックすると、PreviewやTextEditではなく、Terminalで実行されてしまいます」

[img]

それから数週間後の現在、 一部のBitTorrentユーザがOSX/Keydnapに感染していることが明らかになった。感染したトレントをダウンロードしたためではないかとも言われているが(もちろん、これも可能性の1つである)、実際に、信頼の置けるソースが攻撃を受けていたことが判明した。

ESETはオープンソースのBitTorrentクライアントTransmissionのリコンパイルバージョンが、公式ウェブサイトで提供されていると報告した。そのソフトウェアがOSX/Keydnapに感染していたのだという。この件について連絡を受けたTransmissionチームはすぐさま対応した。

「Transmissinチームは、ESETから通知を受けた数分後にはマルウェアに感染したファイルをウェブサーバから削除し、その経緯についての調査を開始しました」と研究者は説明する

「このアプリケーション・パッケージが、2016年8月28日に署名されていたことから、配布されていた期間はその翌日までであったと思われます」

Transmissionチームの調査の結果、マルウェアが混入したバージョンが公開された経緯や、それが提供されていた期間が明らかになった。この事件は、ある攻撃者がサーバに侵入したことから始まった。

「2016年8月28日、あるいはその前後に、私たちのWebサーバに不正アクセスがありました」とTransmissionチームは声明で述べている。

「そして、公式MacバージョンのTransmission 2.92は、OSX/Keydnapが仕込まれた不正なバージョンに置き換えられました。この感染したファイルが数時間ダウンロード可能になっていました」

Transmissionチームは、この感染したファイルは、発見後すぐ、おそらく置き換えられてから数時間後に、サーバから削除されたと説明する。即座に発見され、削除されたことで、マルウェアの影響を最小限にできたのだろう。

その期間内に感染したのではないかと心配な方は、ESETが提供する以下の感染チェックをしてみるといいだろう。

「8月28日から29日にかけて、Transmission v2.92をダウンロードした方は、感染のチェックのため、以下のファイルやディレクトリが存在してるかを確認することをおすすめします」とESETは記している。

[img]

「もしいずれかのファイル、フォルダが存在している場合、悪意のあるTransmissionアプリケーションが実行され、Keydnapが起動している可能性が高いと思われます。また、マルウェアが含まれたディスクイメージのファイル名は「Transmission2.92.dmg」です(公式バージョンは「Transmission-2.92.dmg」でハイフンが含まれています)」

Transmissionチームも感染を心配する人のために削除手順を公開している。さらに、 このような事態を再び引きこさないための対策を講じている。

「今後こうした事態を引き起こさないためにも、ウェブサイトおよびすべてのバイナリファイルを現在のサーバからGitHubに移転します。また、現在停止している他のサービスは、数日中に新しいサーバに移転します」とTransmissionチームは述べている。

「追加的な予防策として、2つの別個のレポジトリでバイナリとウェブサイト(チェックサムを含む)をホストします」

感染していないTransmissionのダウンロードはこちらから。また、OS X版以外のバージョンに感染は確認されていない。
Attackers Infect Transmission Torrent Client With OS X Malware – TorrentFreak

Author: Andy / TorrentFreak / CC BY-NC 3.0
Publication Date: Ausust 31, 2016
Translation: heatwave_p2p