セキュリティ企業の米サンベルトソフトウエアは2008年3月10日、Macユーザー向けのウイルス対策サイトに、「Macウイルス(Mac OSで動作するウイルス)」が置かれたサイトに誘導するアダルト画像が大量に投稿されていることを報告した。誘導先のサイトでは、ウイルスをコーデック(動画の再生に必要なプログラム)に見せかけて、インストールさせようとする。
今回サンベルトソフトウエアが報告したのは、「MacVirus.org」というウイルス対策サイト。同サイトには、Macウイルスに関する情報やニュースが掲載されている。Macウイルスに関する情報を自由に投稿できる掲示板(フォーラム)も用意している。この掲示板に、Macウイルスが置かれたサイトに誘導するアダルト画像などが投稿されていた。
悪質な投稿を開くと、動画プレーヤーのような画面が表示される(図1)。実際には、この画面はアニメーションGIF。「Click here to see movie(動画を見たければ、ここをクリック)」と書かれているが、クリックしても動画が再生されることはない。
そして、この偽プレーヤーの下には、露骨なアダルト画像が多数並ぶ。偽プレーヤーやアダルト画像のいずれをクリックしても、ある特定のWebサイトへ誘導される。このサイトが「ウイルス配布サイト」(図2)。ここでも偽のプレーヤーが表示され、動画を再生するにはコーデックが必要だとして、あるファイルのダウンロードを促す。
このファイルがウイルスの実体。ダウンロードして実行すると感染し、OSのDNS設定を、攻撃者のDNSサーバーを参照するように変更される。これにより、ユーザーがWebブラウザーなどに正規のアドレス(URL)を入力しても、悪質なWebサイト(フィッシング詐欺サイトなど)に誘導される恐れがある。
ダウンロードされるウイルスの種類は、アクセスしたパソコンのOSによって変わってくる。ウイルス配布サイトは、Webブラウザーが送信する情報から、アクセスしたパソコンのOSを特定。Windowsの場合には実行形式ファイル(拡張子がexe)を、Mac OSの場合にはディスクイメージファイル(拡張子がdmg)をダウンロードさせようとする。拡張子以外のファイル名や、インストールした際の挙動は同じ。
なお、コーデックに見せかけてインストールさせようとするMacウイルスは、2007年11月以降、何度も確認されている。今回報告されたウイルスの挙動やウイルス配布サイトのデザインは、今ままでに確認されたMacウイルスの手口と全く同じ。異なるのは、Macユーザー向けのウイルス対策サイトに「わな」を仕掛けている点だけである。編集部で確認したところ、現在でも「わな」は投稿されたままになっている(2008年3月11日16時時点)。ウイルスに感染する危険性があるので、近づかない方が無難だ。
