Mac関連ネタを凄い勢いで翻訳するスレ・4
136 :名称未設定:
今回のトロイの木馬に関するQ&Aです。
どなたか凄い勢いで訳して下さいませ。
QUESTIONS AND ANSWERS ABOUT THE MP3CONCEPT TROJAN HORSE
http://www.intego.com/news/pr41.html
どなたか凄い勢いで訳して下さいませ。
QUESTIONS AND ANSWERS ABOUT THE MP3CONCEPT TROJAN HORSE
http://www.intego.com/news/pr41.html
|
|
|
137 :haiyo:04/04/11 01:15 ID:tZw6FtoC
トロイの木馬「mp3concept」に関するQ&A
2004/4/9昨日、Mac向けセキュリティ専門企業のIntergoは、MacOS Xに感
染する初のトロイの木馬からMacユーザーを守るため、自社のIntego VirusBarri
erのウイルス定義を更新したと発表した。この文書では、問題のトロイに関するQ
&A、より詳細な情報、動作原理に関する技術情報などを提供する。
●IntegoがMacOS Xに感染するトロイについて発表することにしたのはなぜです
か?
Integoが単離した最初のバージョンのトロイは無害なものでしたが、このテクニッ
クはより重大なリスクをもたらしかねません。このトロイに使われているエクス
プロイト(システムの弱点を悪用する方法・技術)は潜在的かつ危険の高いもの
であり、顧客を守ることはMac用セキュリティ・ソリューションを提供する企業
としての責務といえます。一部の競合企業と違い、私たちは実際の被害が起こる
まで発表を控えるべきだとは思いません。Intego Virus Security Laboratoryは
即刻、このトロイをブロックし、トロイ内のコードを実行されるのを防ぐ方法を
発見できましたし、私たちの顧客への献身という面からも、この対処法をIntego
VirusBarrierの最新ウイルス定義としてリリースするのは当然のことでした。
2004/4/9昨日、Mac向けセキュリティ専門企業のIntergoは、MacOS Xに感
染する初のトロイの木馬からMacユーザーを守るため、自社のIntego VirusBarri
erのウイルス定義を更新したと発表した。この文書では、問題のトロイに関するQ
&A、より詳細な情報、動作原理に関する技術情報などを提供する。
●IntegoがMacOS Xに感染するトロイについて発表することにしたのはなぜです
か?
Integoが単離した最初のバージョンのトロイは無害なものでしたが、このテクニッ
クはより重大なリスクをもたらしかねません。このトロイに使われているエクス
プロイト(システムの弱点を悪用する方法・技術)は潜在的かつ危険の高いもの
であり、顧客を守ることはMac用セキュリティ・ソリューションを提供する企業
としての責務といえます。一部の競合企業と違い、私たちは実際の被害が起こる
まで発表を控えるべきだとは思いません。Intego Virus Security Laboratoryは
即刻、このトロイをブロックし、トロイ内のコードを実行されるのを防ぐ方法を
発見できましたし、私たちの顧客への献身という面からも、この対処法をIntego
VirusBarrierの最新ウイルス定義としてリリースするのは当然のことでした。
138 :haiyo:04/04/11 01:16 ID:tZw6FtoC
私たちは当初、この情報を発表するかどうかためらっていましたが、最終的には
「私たちにはこのセキュリティ上の危険性をユーザーに警告する責任がある」と
決意したのです。
注意すべきは、このトロイの情報を最初に公表したのはIntegoですが、私たちが
このプレスリリースを発表した後にSymantecとMcAfeeの両社も自社のアンチウ
イルスソフトのウイルス定義ファイルをアップデートしているという点です。し
かしこれらの企業は、このアップデートが当該トロイに対処するものかどうかに
ついては明示していません。
「私たちにはこのセキュリティ上の危険性をユーザーに警告する責任がある」と
決意したのです。
注意すべきは、このトロイの情報を最初に公表したのはIntegoですが、私たちが
このプレスリリースを発表した後にSymantecとMcAfeeの両社も自社のアンチウ
イルスソフトのウイルス定義ファイルをアップデートしているという点です。し
かしこれらの企業は、このアップデートが当該トロイに対処するものかどうかに
ついては明示していません。
139 :haiyo:04/04/11 01:29 ID:tZw6FtoC
●これ、単なるデマなんじゃないの?
絶対に違います。以下で説明するように、このトロイはセキュリティ
上重大な脅威であり、深刻に扱われるべきです。デマとは、事実では
なく、人々に危険があると思いこませて疑念や狼狽を引き起こす情報
のことです。このトロイの木馬は実在します。私たちは動作サンプル
を持っていますし、このトロイは潜在的な危険性をはらんでいます。
●でも、このトロイの木馬は---少なくともおたくの会社が入手したタ
イプは---無害だって言いませんでしたか? 何でうろたえる必要があ
るんです?
私たちの知る限り、このトロイは今のところ無害ですが、悪意あるハッ
カーが同じテクニックを使って危険なトロイの木馬を作成しないとい
う保証は何もありません。このトロイに含まれるコードを検証したと
ころ、このトロイはMacOS X上ではファイルの削除や変更は一切行
わないことは確認できましたが、現在このトロイが何をやっているの
かを完全に解析したとは言い切れませんし、今後どのような作用をも
たらす可能性があるかもわかっていません。どんな状況であれ、今現
在のユーザーを守るほうが、後手後手で対応するより好ましいもので
す。私たちが問題の潜在的脅威を認識している場合はなおさらでしょ
う。
絶対に違います。以下で説明するように、このトロイはセキュリティ
上重大な脅威であり、深刻に扱われるべきです。デマとは、事実では
なく、人々に危険があると思いこませて疑念や狼狽を引き起こす情報
のことです。このトロイの木馬は実在します。私たちは動作サンプル
を持っていますし、このトロイは潜在的な危険性をはらんでいます。
●でも、このトロイの木馬は---少なくともおたくの会社が入手したタ
イプは---無害だって言いませんでしたか? 何でうろたえる必要があ
るんです?
私たちの知る限り、このトロイは今のところ無害ですが、悪意あるハッ
カーが同じテクニックを使って危険なトロイの木馬を作成しないとい
う保証は何もありません。このトロイに含まれるコードを検証したと
ころ、このトロイはMacOS X上ではファイルの削除や変更は一切行
わないことは確認できましたが、現在このトロイが何をやっているの
かを完全に解析したとは言い切れませんし、今後どのような作用をも
たらす可能性があるかもわかっていません。どんな状況であれ、今現
在のユーザーを守るほうが、後手後手で対応するより好ましいもので
す。私たちが問題の潜在的脅威を認識している場合はなおさらでしょ
う。
140 :haiyo:04/04/11 01:48 ID:tZw6FtoC
●このトロイを最初に発見したきっかけは?
Integoが最初にこの情報を知ったのは、あるMacユーザーが2004/4
/6の午前11:16に当社のカスタマサポート部に送信したメールででし
た。このユーザーが当該トロイに関する情報を提供してくれたのです。
このユーザーは同じメールをAppleとSymantec、McAfeeにも送信
しました。
●MacOS Xで、アプリケーションのファイル名を変更するだけで他
の種類のファイルに「偽装」できるケースがあることは、以前から知
られてましたよね。このトロイは、たとえばアプリケーションを単に
「Song.mp3」って名前にリネームしたのとどう違うんですか?
そもそもMacOS Xでは、CocoaとCarbonという2種類のアプリケー
ションが実行されています。CocoaはOSXネイティブのアプリケー
ションで、.appという拡張子を持っています。Cocoaアプリケーショ
ンは、実際にはプログラムの各種部品---コード、リソース、画像など
---を格納したフォルダです。.app拡張子は、MacOSXに対して、そ
のアプリケーションがネイティブに実行できることを示しています。
Integoが最初にこの情報を知ったのは、あるMacユーザーが2004/4
/6の午前11:16に当社のカスタマサポート部に送信したメールででし
た。このユーザーが当該トロイに関する情報を提供してくれたのです。
このユーザーは同じメールをAppleとSymantec、McAfeeにも送信
しました。
●MacOS Xで、アプリケーションのファイル名を変更するだけで他
の種類のファイルに「偽装」できるケースがあることは、以前から知
られてましたよね。このトロイは、たとえばアプリケーションを単に
「Song.mp3」って名前にリネームしたのとどう違うんですか?
そもそもMacOS Xでは、CocoaとCarbonという2種類のアプリケー
ションが実行されています。CocoaはOSXネイティブのアプリケー
ションで、.appという拡張子を持っています。Cocoaアプリケーショ
ンは、実際にはプログラムの各種部品---コード、リソース、画像など
---を格納したフォルダです。.app拡張子は、MacOSXに対して、そ
のアプリケーションがネイティブに実行できることを示しています。
141 :haiyo:04/04/11 01:49 ID:tZw6FtoC
Carbonアプリケーションの仕組みはこれとは異なっています。たい
ていのCarbonプログラムはMacOS9とMacOSXの両方で動作し、そ
のため.app拡張子も持っていません。MacOSは、これらが実行プロ
グラムであることを「carb」と「cfrg」という2つのリソースから判
断しています。carbリソースはこのファイルがCarbonアプリケーショ
ンであることを示し、cfrgリソースは当該ファイル内のデータフォー
ク上にある実行コードの位置を指定しています。
このトロイの木馬は、実際には、mp3ファイルに上記の2つのリソー
ス(carbとcfrg)を追加したものです。さらに、mp3ファイルのID3
タグ部分にはトロイの木馬の実行コードが、cfrgリソースにはデータ
フォーク上でその実行コードが格納されている位置を指定するポイン
タが書き込まれています。
(ID3タグはmp3ファイルに統合された、曲のタイトルやアーティス
ト、アルバム名などの情報を格納するための部分です。AACファイ
ルにも同様のタグが存在します)
ていのCarbonプログラムはMacOS9とMacOSXの両方で動作し、そ
のため.app拡張子も持っていません。MacOSは、これらが実行プロ
グラムであることを「carb」と「cfrg」という2つのリソースから判
断しています。carbリソースはこのファイルがCarbonアプリケーショ
ンであることを示し、cfrgリソースは当該ファイル内のデータフォー
ク上にある実行コードの位置を指定しています。
このトロイの木馬は、実際には、mp3ファイルに上記の2つのリソー
ス(carbとcfrg)を追加したものです。さらに、mp3ファイルのID3
タグ部分にはトロイの木馬の実行コードが、cfrgリソースにはデータ
フォーク上でその実行コードが格納されている位置を指定するポイン
タが書き込まれています。
(ID3タグはmp3ファイルに統合された、曲のタイトルやアーティス
ト、アルバム名などの情報を格納するための部分です。AACファイ
ルにも同様のタグが存在します)
142 :haiyo:04/04/11 02:06 ID:tZw6FtoC
●このトロイは具体的にどのように動作するんですか?
当該ファイルをユーザーがダブルクリックすると、MacOS Xはcarb
とcfrgの2リソースを調べ、このファイルをアプリケーションだとみ
なして起動します。cfrgリソースにはID3タグ内に含まれた実行コー
ドへのポインタが格納されているので、結果的にそのコードが実行さ
れます。このアプリケーションはAppleEvent経由でiTunesを起動し、
mp3ファイルに含まれているサウンドを再生します。
このファイルのID3タグに含まれるコードは、さらに処理を続けます。
現在のトロイの木馬では、このファイルが実際にはアプリケーション
である旨の警告が表示されます。
このタイプのトロイはMacOS X上で動作するあらゆるアプリケーショ
ンを起動できます。
●どうやら世間では、ファイル内にコードを隠蔽する方法について混
乱が起きているようです。もっと具体的に説明してくれませんか?
最初のプレスリリースでも発表した通り、実際のコードは問題のmp3
ファイルのID3タグ部分に含まれています。このタグは通常曲情報を
保存するのに使われていますが、このトロイではID3に実行可能なコー
ドが含まれています。上でも述べた通り、このファイルのcfrgリソー
スは、ファイル上でこのコードがある場所を指定しています。
当該ファイルをユーザーがダブルクリックすると、MacOS Xはcarb
とcfrgの2リソースを調べ、このファイルをアプリケーションだとみ
なして起動します。cfrgリソースにはID3タグ内に含まれた実行コー
ドへのポインタが格納されているので、結果的にそのコードが実行さ
れます。このアプリケーションはAppleEvent経由でiTunesを起動し、
mp3ファイルに含まれているサウンドを再生します。
このファイルのID3タグに含まれるコードは、さらに処理を続けます。
現在のトロイの木馬では、このファイルが実際にはアプリケーション
である旨の警告が表示されます。
このタイプのトロイはMacOS X上で動作するあらゆるアプリケーショ
ンを起動できます。
●どうやら世間では、ファイル内にコードを隠蔽する方法について混
乱が起きているようです。もっと具体的に説明してくれませんか?
最初のプレスリリースでも発表した通り、実際のコードは問題のmp3
ファイルのID3タグ部分に含まれています。このタグは通常曲情報を
保存するのに使われていますが、このトロイではID3に実行可能なコー
ドが含まれています。上でも述べた通り、このファイルのcfrgリソー
スは、ファイル上でこのコードがある場所を指定しています。
143 :haiyo:04/04/11 02:31 ID:tZw6FtoC
●このタイプのトロイは、MacOS X上でどんな被害を引き起こすと
考えられますか?
幸い、システムファイルに適切なパーミッションが設定されており、
なおかつユーザーがrootとしてログインしていない場合は、この種の
トロイはシステムファイルには一切影響を及ぼしません。しかし、各
ユーザーの個人ファイルの一部または全部を削除することは十分可能
です。ユーザーがrootとしてログインしている場合は、トロイはシス
テムファイルも任意に削除可能です。
またこのタイプのトロイの木馬は、一般に、任意のユーザーがファイ
ルを改変できるよう、オーナーシップやパーミッションの設定が切ら
れていることの多い外部ハードディスク内のファイルも容易に削除で
きます。
●トロイが増殖する方法は?
このトロイはいくつかの方法で増殖します。ユーザーがインターネッ
ト上のサーバなりwebサイトなりからこのファイルをダウンロードす
るケースでは、ファイルが特定のフォーマットで圧縮されている必要
があります。そのひとつは、OSX 10.3のFinderやStuffitから利用で
きるzip形式です。このトロイはリソースを含んでいなければ成立し
ませんが、圧縮なしでファイルをダウンロードした場合はリソース部
分は削除されてしまうからです。また、リソースフォークを維持する
binhex形式でファイルがエンコーディングされていた場合もこのトロ
イは動作可能です。ファイルが圧縮あるいはエンコードされていなく
とも、問題のファイルをLAN内のMac同士でやりとりしたり、誰かの
iDiskからダウンロードした場合はトロイは無事のままです。
考えられますか?
幸い、システムファイルに適切なパーミッションが設定されており、
なおかつユーザーがrootとしてログインしていない場合は、この種の
トロイはシステムファイルには一切影響を及ぼしません。しかし、各
ユーザーの個人ファイルの一部または全部を削除することは十分可能
です。ユーザーがrootとしてログインしている場合は、トロイはシス
テムファイルも任意に削除可能です。
またこのタイプのトロイの木馬は、一般に、任意のユーザーがファイ
ルを改変できるよう、オーナーシップやパーミッションの設定が切ら
れていることの多い外部ハードディスク内のファイルも容易に削除で
きます。
●トロイが増殖する方法は?
このトロイはいくつかの方法で増殖します。ユーザーがインターネッ
ト上のサーバなりwebサイトなりからこのファイルをダウンロードす
るケースでは、ファイルが特定のフォーマットで圧縮されている必要
があります。そのひとつは、OSX 10.3のFinderやStuffitから利用で
きるzip形式です。このトロイはリソースを含んでいなければ成立し
ませんが、圧縮なしでファイルをダウンロードした場合はリソース部
分は削除されてしまうからです。また、リソースフォークを維持する
binhex形式でファイルがエンコーディングされていた場合もこのトロ
イは動作可能です。ファイルが圧縮あるいはエンコードされていなく
とも、問題のファイルをLAN内のMac同士でやりとりしたり、誰かの
iDiskからダウンロードした場合はトロイは無事のままです。
144 :haiyo:04/04/11 02:35 ID:tZw6FtoC
ユーザーがこのファイルをトロイだと気づかずにメールに添付して誰
かに送った場合も、トロイが無傷のまま受信される危険性があります。
たとえばApple MailとEntourageは、デフォルトではこのファイルを
binhexでエンコードしますが、このフォーマットではトロイの動作に
必要なリソース部分もそのまま送信されます。
●このトロイはiTunesの脆弱性をエクスプロイトするものなんですか?
いいえ。iTunesはこのトロイには全く無関係です。iTunesは問題の
mp3ファイルに含まれている音声データ部分を演奏するだけで、他に
は何もやりません。
●このテクニックは他の種類のファイル、たとえばJPEGやGIFなどに
も使えるって言いましたよね。どういうことですか?
JPEGやGIFなどのファイルには、mp3ファイルのID3タグに似たタグ
領域があります。このタグ領域にコードを隠すことができさえすれば、
carbリソースと、そのコードの位置を指定したcfrgリソースをファイ
ルを追加するのは簡単です。
----------------------------------
かに送った場合も、トロイが無傷のまま受信される危険性があります。
たとえばApple MailとEntourageは、デフォルトではこのファイルを
binhexでエンコードしますが、このフォーマットではトロイの動作に
必要なリソース部分もそのまま送信されます。
●このトロイはiTunesの脆弱性をエクスプロイトするものなんですか?
いいえ。iTunesはこのトロイには全く無関係です。iTunesは問題の
mp3ファイルに含まれている音声データ部分を演奏するだけで、他に
は何もやりません。
●このテクニックは他の種類のファイル、たとえばJPEGやGIFなどに
も使えるって言いましたよね。どういうことですか?
JPEGやGIFなどのファイルには、mp3ファイルのID3タグに似たタグ
領域があります。このタグ領域にコードを隠すことができさえすれば、
carbリソースと、そのコードの位置を指定したcfrgリソースをファイ
ルを追加するのは簡単です。
----------------------------------