今週末、OS X 用の人気のオープンソース クライアント Transmission BitTorrent のユーザーは、アプリケーション バージョン 2.90 の特定のインストーラーに、インストール時に不要なランサムウェアがバンドルされていることが判明し、かなり驚きました。ランサムウェアは、システム全体のファイル アクセスを制限してユーザーに問題を引き起こすマルウェアの一種です。
セキュリティ調査会社パロアルトネットワークスが「KeRanger」と名付けたこの悪質ソフトウェアは、ユーザーのMacへのアクセスを改ざんするような方法でユーザーのシステムファイルを暗号化し、その後アクセスを取り戻すためにユーザーに金銭を支払わせようとする。
Transmission アプリの開発者は、影響を受けた可能性のあるユーザーに対して、ランサムウェアを削除して問題を修正するための即時必須アプリ アップデートを現在プッシュしており、すべてのユーザーに推奨されていますが、自分が影響を受けているかどうかはどうすればわかるのでしょうか。
KeRangerの仕組み
Palo Alto Networksによると、KeRangerは当時、有効な署名済みMac開発者証明書を使用していたため、AppleのGatekeeperソフトウェアの保護を回避できたとのことです。幸いなことに、Palo Alto Networksがこの問題をAppleだけでなくTransmission開発チームにも報告したため、Appleはその後、当該証明書へのアクセスを無効にしました。
感染したバージョン2.90の悪意あるTransmissionインストーラーは、正規の.RTFファイルのように見える「General.rtf」という不要なファイルによって、通常のTransmissionインストーラーと区別できます。しかし残念ながら、これはMach-O形式の実行ファイルを覆い隠すだけのマスクであり、ユーザーはアプリを起動してもマルウェアがシステムにコピーされていることに気付かない可能性があります。
KeRanger はシステムにコピーされインストールされると、3 日間休止状態になるように設定されます。3 月 4 日に作成されたため、完全に削除されない場合は、3 月 7 日月曜日にユーザーのマシンでアクティブ化が開始されることになります。
KeRangerが起動すると、ユーザーのMac上のファイルを暗号化し、「身代金」を要求するため、「ランサムウェア」と呼ばれるようになります。その後、この悪意のあるソフトウェアは、システムの暗号化を解除するために1ビットコイン(約400ドル)を支払わせようとします。
KeRangerの影響を受ける人
KeRangerランサムウェアは、Transmissionアプリを使用するすべてのユーザーに影響を与えるわけではありません。影響を受けるのは、3月4日午前11時(太平洋標準時)から3月5日午後7時(太平洋標準時)の間にTransmissionのウェブサイトからアプリのバージョン2.90をダウンロードし、Macにインストールした一部のユーザーのみです。
このバージョンは、匿名の攻撃者によってKeRangerランサムウェアにバンドルされていたことが分かっていますが、どのようにしてそこに侵入したのかは完全には解明されていません。推測では、ウェブサイトのセキュリティ侵害が原因とされており、その直後に改ざんされたインストーラーがウェブサイトに配置された可能性があります。
更新:トランスミッション社によると、このソフトウェアはセキュリティ侵害を通じてサーバーにアップロードされ、約6,500人がこのランサムウェアをダウンロードしたとのこと。
現在 ウェブサイトからTransmissionをダウンロードしている方はご安心ください。開発者は既知の悪意のあるインストーラーを削除し、正常に動作するインストーラーに置き換えました。この記事の執筆時点での最新バージョンは2.92です。
MacからKeRangerを削除する
Transmission の開発者は Transmission 2.92 をリリースしたばかりで、このバージョンの Transmission は Mac から KeRanger マルウェアを自動的に検索して削除するように設計されています。
そうは言っても、KeRanger に感染したと思われる場合は、この新しいバージョンの Transmission を入手してできるだけ早くインストールする必要があります。なぜなら、不運にも感染してしまった人の 1 人であれば、KeRanger は 3 月 7 日月曜日にアクティブになり、Mac のファイルの暗号化を開始するからです。
Mac が KeRanger ランサムウェアに感染しているかどうかを確認し、手動で削除するには、Palo Alto Networks が提供している次の手順に従います。
1)ターミナルまたはFinderを使用して、/Applications/Transmission.app/Contents/Resources/General.rtfまたは/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtfが存在するかどうかを確認してください。どちらかが存在する場合、Transmissionアプリケーションは感染しているため、このバージョンのTransmissionを削除することをお勧めします。
2) OS Xにプリインストールされている「アクティビティモニタ」を使用して、「kernel_service」という名前のプロセスが実行中かどうかを確認します。実行中の場合は、プロセスを再確認し、「ファイルとポートを開く」を選択し、「/Users/<username>/Library/kernel_service」のようなファイル名があるかどうかを確認します(図12)。ファイル名がある場合、そのプロセスはKeRangerのメインプロセスです。「終了」→「強制終了」で終了することをお勧めします。
3)これらの手順を実行した後、~/Libraryディレクトリに「.kernel_pid」、「.kernel_time」、「.kernel_complete」、「kernel_service」などのファイルが存在するかどうかを確認することをお勧めします。存在する場合は削除してください。
まとめ
OS X用のTransmissionアプリをご利用の場合は、KeRangerランサムウェアに感染していないことを確認するために、細心の注意を払い、必要な手順をすべて実行してください。Macに最新バージョンのTransmissionをインストールすれば、ランサムウェアの痕跡をシステムから確実に削除できますが、上記の手順に従って手動で確認しても問題ありません。
OS X版Transmissionにバンドルされているランサムウェアに感染しましたか?コメント欄で教えてください。
