xiaolong 
最近、セキュリティ会社のSixgillがロシアのネットワーク犯罪BBSで、ある人が新しいMac用トロイの木馬”Proton(プロトン)”を販売していることを発見した。そして売り手はこのProtonによって正規版のAppleのコード署名を提供できるため、このトロイの木馬の”毒性”が非常に強いと表明している。
Sixgillによれば、ProtonはmacOSシステムを遠隔操作するために作られたトロイの木馬で、そのコードはObjective Cによって書かれているといい、単独で動作可能だ。この木馬の開発者は、Protonのことを「FUDの監視とコントロールの専門的ソリューションで、これによって目標のMac上で基本的にどんなことも操作可能」としている。初心者向け紹介ビデオまでYoutubeでアップされている。
ルート(root)アクセス権限を持つことで、攻撃者はこのトロイの木馬を使ってキータッチの記録、ファイルのアップロードとダウンロード、スクリーンショット撮影、カメラへのアクセス、そしてSSHやVHCなどのサービスにも接続可能となってしまう。また悪意のあるプログラムを埋め込んでダイアログを表示し、ユーザにユーザ名やパスワード、そしてクレジットカードの情報などを入力させることさえできてしまう。
Sixgillはまた、この悪意のあるソフトウェアの攻撃を受けてしまうと、ユーザはローカルに保存しているデータが盗まれてしまう脅威にさらされるだけではなく、更にiCloudやApple IDへのアクセス権限も奪われ、現在Appleがセキュリティ対策でとっている2ファクタ認証もこのトロイの木馬の前では役に立たないと指摘している。
この悪意のあるソフトウェアの開発者は全ての対価を支払うことを惜しまずAppleの署名コードを手に入れたのではないかとSixgillは考えているようだ。つまりこれはAppleによって、サードパーティソフトウェアへの厳密なフィルタリングを通過してしまっているということを意味する。Protonの開発者はApple Developer ID Programの登録情報を何らかの方法で変更したか、盗まれた何らかの身分証明や証拠等によってAppleの署名を通過したのではないかとみられる。
更に、Sixgillのアナリストは、このProtonの開発者はmacOSの中でまだ塞がれていない所謂”ゼロデイ”セキュリティホールを持っており、そのセキュリティホールを利用してルート権限にアクセスしていると分析している。このProtonは確かに一定のリスクが存在するものの、何らかの別のアプリなどに見立てたアイコンと名称でユーザにダウンロードやインストールを促す必要があるため、インストールさせるところに少々ハードルがあるとみられる。
そんなわけで、Protonの開発者は、かつてこのトロイの木馬を合法的なセキュリティツールとして販売しようとしており、専用のウェブサイトまで用意していた。そこではこのプログラムは企業間のスパイウェアを防止したり、ネットワーク管理者による端末管理システムをよりやりやすくしたり、家庭で保護者が子供のネットワーク(インターネット)の利用を監視・コントロールすることができるとうたっていた。しかしSixgillがレポートを発表し、彼らの本来の姿を暴露した後に、そのウェブサイトは消されてしまった。
Protonは現在は価格がぐっと落ち込んでいる。以前の販売価格は100ビットコイン(約126,000ドル)でインストール回数無制限というものだった。しかし各方面からの指摘を受けた後、40ビットコイン(約50,400ドル)でインストール回数無制限と、2ビットコイン(約2,512ドル)でインストール回数は1回のみという価格になっている。
さてあなたは値下げされたとはいえ500万円以上するトロイの木馬をどう思うだろうか?
(記事情報元:Security Affairs)