Macで遠隔操作型ウイルスの被害に遭いました。経緯と対処・今後の対策

000

この記事は私が2016年1月9日に実際に遭ったMacでのウイルス被害についての記録と対策について記しています。

同様の被害を防ぐため、また被害にあった方に対して私が行った処置・対策について、情報共有を行うことを目的とした記録です。

photo credit: MacBook via photopin (license)

Macで遠隔操作型?ウイルス被害に遭った経緯と実際の状況

2016年新年早々ですが、私の自宅のMac(Mac Mini 2011/OS X El Capitan)にて遠隔操作型と思われるウイルスだと思われるものの被害に遭いました。

どのような被害か、結果から言いますと、Amazonで身に覚えのない多額の買い物と、クレジットカードの不正利用です。またGmailの不正利用などもありました。

今回は、早急な対処と各方面の方々の迅速な対応のおかげでなんとか実害に及ぶ前に食い止めることができました。

しかし、もし気付けなかったら、すぐに対処できていなかったら、事態は深刻化していたと思います。

実際の事例についてスクリーンショットなどを取得しておりましたので、その状況などを記載したいと思います(私個人に関わる情報は黒塗りしています)。また、遠隔操作中に勝手にインストールされたソフトウェアについては、実物のイメージファイルを保存していますので、今後のウイルス対策の為など正当な理由で解析・活用したいと考えられる方がいらっしゃいましたらお知らせください。

私が異常を感じ、対策を行うまでの流れをその通りに記述していこうと思います。

またキーになると思われるワード・出来事は色を変えて強調していきます。

Macの画面が勝手に起動、中国語のページがSafariで表示されていた

事件があった当日、私は早朝からツーリングに出かけていました(日の出ツーリング)。私はいつものように、Mac miniの電源を入れっぱなしで外出しました。

帰宅したのが午後1時頃でした。居間のMac miniにつながっているディスプレイが勝手についていて、なぜか中国語と思われるエラーメッセージが羅列したウェブサイトが開かれていました。

ただ、私はその時気に留めませんでした。私の自宅には猫がいるため、猫がキーボードを踏んだだけだろうと思ったためです。そして、その後すぐに何もせずに買い出しに出かけました。

帰宅してから別室のMac book airで何気なくAmazonの購入履歴を閲覧したところ、身に覚えのないものの購入履歴が並んでいました。ちなみに今回不正なソフトウェア(ウイルス)被害に遭っていたのはMac miniのみでした。この時点では私はAmazonの乗っ取りにやられたのか、と考えていました。

Amazonの不正利用

身に覚えのないAmazonの購入履歴。具体的には、「Amazonコイン」という商品が大量に注文されていました。実際のスクリーンショットが以下になります。

001

これを見て前述の通り、私は「Amazonアカウントの乗っ取り」をされたのでは、と思いました。

そこで、私はAmazonカスタマーセンターにすぐに電話連絡をして、状況を伝えました。この部分については後述しますが、Amazonの迅速な調査・対応のおかげで、その日のうちにAmazonでの身に覚えのない購入の金額は全額返金していただけるという結論をいただきました。本当に感謝です。ただし、事件はまだ続きます。

Macのカーソルが勝手に動いて、意図しないホームページを開いている!?

Amazonに連絡して、対処すると約束いただいてから、ホッとして居間のMac Miniの方へ移動しました。すると、また覚えのないウェブサイトが開いているのです。

不思議に思い、私はマウスを触り始めました。すると、私が動かそうとする動きに逆らうようにSafaiを勝手に開き、勝手に見知らぬURLを開こうとするのです。動きとしては、私のカーソルの動きを全く無視するような感じではなく、どちらの操作も反映されて、まるで競合するように動いていました。

この時、私は気付きました。

「PCが遠隔操作されている、もしくは遠隔操作のようにPC操作を乗っ取る働きをするウイルスにやられている」ということに。

この時点で私の焦りは頂点に達していました。とりあえず、「ネットワークを遮断」しなければ、と考え、Mac miniを強制終了させました。そして、Mac book Airの方を確認しに行きましたが、こちらには異常がありませんでした。しかし、とりあえずモデムの電源を切り家中のネトワークの切断と端末の電源を落としました。

焦った私に考える時間が必要だったため、とりあえず事態の進行をストップさせる必要があると考えたからです。

しかしながら、事態の進行はストップさせられていませんでした。

Gmailの自動転送が勝手に設定され、Amazonのパスワードを勝手に変更されていた

わたしはiPhoneを使ってAmazonの履歴に変化がないか確認しようとしました。すると、Amazonにログインできません。

Amazomのログインパスワードを勝手に変更されていたためです。

しかし、Amazonのログインパスワードの変更のためには、登録されているメールアドレスに届くURLをクリックする必要があるはずですよね?

しかしGmailを見てもそれらしきメールが届いた痕跡がないのです。

これは転送されている可能性がある、と思い、見たら案の定見たことのないメールアドレスが勝手に転送先に指定されていました。

以下の画像です。

003

画像ではすでに転送を無効にした後ですが、画像のメールアドレスが実際のものです。今は削除しました。

このように、私のGmail宛に届いたメールアドレスが見ず知らずの誰かのアドレスに転送する設定が勝手にされていました。

つまり、私のメールアドレスで登録されている様々なアカウントのパスワードを変更し放題だったってことです。

とりあえず、クレジットカードを止めなくては!!

すぐにカード会社に電話しました。幸い私はクレジットカードは1枚しか所持していなかったので、1枚だけ対処するだけで済みました。

ちなみに、クレカは三井住友Visaのものでしたが、迅速な対応で、不正利用された支払いの無効化だけでなく、私のクレジットカードがこの日、別のサービスに登録された痕跡がある(もちろん覚えはない)、ということを教えていただき、そのままカードの利用停止ということになりました。私の不安を汲み取るように接していただき、本当に感謝しています。

Gmail転送を食い止めた後もAppleIDに不正ログインしようとされていた形跡があった

さて、Gmail関連については考察すべきことがありますが、とりあず経緯と事実だけを先に記載してしまおうと思います。

その他のGmailのメールアドレスを利用しているウェブサービスにログインして確認をしていたのですが、AppleのIDがロックされていました。おそらく、私のメールアドレスを使って不正ログインに複数回失敗してロックされていたのでしょう。真相はわかりませんが。

ここまでが一連の出来事の経緯・流れです。

では次に、私のMacにインストールされていたソフトウェアについてと、なぜ私が「遠隔操作」されたと考えているのか、考察を記述してみます。

Macに遠隔操作もしくは・遠隔操作型ウイルスに操作されていた痕跡

Safariの履歴

ネットワークを切断してから、私は被害にあったMac miniを立ち上げて、ブラウザの検索履歴を確認して見ました。すると、Safariの検索履歴に身に覚えのない検索履歴が並んでいました。下の画像ですが、クリックで拡大できます。

010

この履歴を見てみると、加害者(人かソフトウェアかはわかりませんが)は私のSafariから任意のURLを入力して操作していたことがわかります。時系列としては画像の下から上に進んでいきます。何をしようとしていたかを予測して見たいと思います。画像内に記述した番号と下記の文章の番号が対応しています。(確証はありません)

  1. 私のPCからAmazonを開き、クレジットカード情報を閲覧
  2. 何らかのイメージファイル(dmgファイル)をダウンロードしてインストール
  3. Amazonで私のアカウントを使って「Amazonコイン」を購入
  4. 再び何らかのイメージファイルをダウンロードしてインストール
  5. ルーターにアクセス
  6. 再びAmazonで「Amazonコイン」を購入
  7. 私のAmazonのパスワードを勝手に変更
  8. 再び何らかのイメージファイルをダウンロードしてソフトウェアをインストールしようとするが失敗

このように何かが私のMac mini上でSafariブラウザを使っていたかのように思える履歴が残っていました。

私は普段からMac miniではGoogle chromeを使っていました。そのため、Safariの履歴には私の履歴は一切残っていませんでした。そのこともあって、これは何かがSafariを意図的に立ち上げて操作した可能性が高いと考えています。

インストールされていたソフトウェア

では、どのようなソフトウェアがインストールされていたかですが、ウイルスそのものの侵入時のソフトではなく、この遠隔操作によってダウンロードされたソフトのみの紹介になります。ただ、削除されたものもあるかもしれませんので、私が確認できたファイルのみです。

この遠隔操作によってSafariからダウンロードされたファイルはMacのFinderの「ダウンロードフォルダ」に保存されていました。

それが以下の3つです。

004

これらのファイルそのものがウイルスソフトというわけではなく、特に①と③に関しては、何かをするための準備に悪用されたソフトウェアだと思います。

①「Charles」

006

このソフトがどういうものなのかは引用させていただきました(下記)。

Charlesについて

Charles を使うと PC 上に HTTP プロキシを立てて端末の通信をキャプチャし、リクエストやレスポンスの内容を覗いたり書き換えることが出来る。

アプリの開発をしていてよくあるのは、APIがスタブで固定値しか返してくれない、異常系エラーのデバッグがやりづらい、という場面だが、Charles なら通信を好きに値を書き換えられるのでこれらに簡単に対処することができる。

参考 参考記事:通信系のデバッグには Charles が便利(引用元)

引用元の記事を詳しく読んでいただけるとわかる通り、このソフトをインストールして操作すれば、いろいろ悪用できそうな感じがします。後ほどきちんと読んで、追記するかもしれません。

②「麦芽地」という中国のアップル端末向けソフト?マルウェアが仕組まれている?

005

②のファイルを開くと、上の画像のようなインストール画面が開きます。

なんだかよく分かりませんね・・。翻訳にかけてみました。

このページが表示されたら!あなたのダウンロードリソースを説明

Appleネットワークに麦芽が提供する原子力発電

アップルフォーラム麦芽へようこそ
ttp://www.maiyadi.com

公式マイクロブログ

ttp://e.weibo.com/maiyadicom

モルトはあなたの素晴らしいを持っています!
注!ネットオフすべてのソフトウェア前に登録してください! !

QQ:381857416

やはりよく分かりませんが、少し調べてみると、「麦芽地」という中国のMac用App Storeがあるそうです。調べた内容から推測すると、この意味のわからないソフトをインストールされたMacにiOS端末(iPhoneやiPadなど)を接続すると、その端末のデータを盗まれてしまう可能性があるそうです。

どう言った目的で私のMac miniにインストールされたかは定かではありませんが、上記の目的であった可能性は高いですね。

参考 参考記事:通アップル、中国のiPhone侵入狙ったマルウエアに対処(参考元)

③Java for OSX

007

これはMacでJAVAのソフトウェアを動かすためにインストールされるものです。先に記載したインストールされたソフトの①「Charles」がJAVAで作られたソフトのようなので、それを動かすためにインストールされたと思います。

Gmeilの転送先が勝手に設定されていた問題

Gmailの転送先が勝手に追加されていたということを前述しました。

そのような設定をするためには、まず私のGmailにログインする必要があります。

003

しかし、私のGmailではログイン時の2段階認証を設定していました。そのため、もし私のGmailのパスワードを入手したとしても、他の端末からログインしようとした場合にブロックされるのです。

とすると、私がすでに1度以上ログインして、認証を解除した端末からログインしたと考えられます。

遠隔操作されたとみられるMac miniではその当時もGmailにログインしたままで、Google Chromeブラウザで開きっぱなしでした。

ただし、開いていたブラウザはGoogle chromeで、Safariでは普段からGmeilにログインしていませんでした。よって転送設定を行うためには、私のMacのGoogle Chromeで開かれているページを見て、直接操作したのではないかと考えられるのです。

これらのことから、私は単なる遠隔操作型のウイルスによる機械的な遠隔機能の動きによるものではなく、何者かが実際に私のPCを遠隔で閲覧していた可能性が高いのではないか、と考えています。

遠隔操作ウイルスはどこからやってきた!?

WEBからの侵入にパッと思い当たる節がない

遠隔操作されていたにしても、プログラムによる遠隔操作だったとしても、最初の侵入経緯が分からなければ、原因を究明することは不可能ですよね。ただ、今回は最初に侵入された経緯が分からないままでした。

何せMac miniでは動画サイトの動画を見るかAmazonを見るくらいしか普段からしていなかったからです。

ウェブサイトから侵入したとすると、思い当たる節がないのです。実際に数カ月の自分の動画閲覧履歴を見てみましたが、大手動画サイトや大手通販サイト以外怪しげなサイトの閲覧履歴はなく、ウェブからの侵入に確信の持てるものがありませんでした。

端末のセキュリティはガバガバだった?

ただし、私のMac miniでは起動ログイン時にOSにログイン時のパスワード認証を行わない設定にしていました。また、何ヶ月も電源を切らずに立ち上げていました。

ログイン時パスワード自体も4桁のゾロ目で、簡単なものでした。Macはソフトウェアをインストールする際に必ずアカウントのパスワードの入力を要求します。つまりソフトウェアをMacにインストールするためのパスワードが4けたのゾロ目だった、ということになります。この点に関してはずさんだったと言わざるをえません・・。

ただ、自宅で自分だけしか利用しない端末のパスワードを簡単なものに設定している人はたくさんいると思います。皆さんも気を付けてください。

他に考えられる可能性は・・

他にいくつかあげるとすれば、

  • Mac同士の画面共有やファイル共有(ただしローカル)
  • 「TeamViewer」という遠隔操作ツール(ただし、自分のIDとPassを相手に教える必要が有る)

二つ目の「TeamViewer」は遠隔操作中に遠隔操作元の利用者のIDが表示されますし、そもそも私のIDとパスワードを知る必要がありますので、考えにくいと思うのですが・・。可能性としては0ではないと思いますが、これらが利用されたと言える根拠も利用されていない、という根拠もありません。

例えば、利用されたログなどが見れればいいのですが。

どこの穴を突かれたのか、今となってはわかりません。何故なら被害にあったMac miniは既にクリーンインストールしたためです。

ウイルス被害でAmazonなど通販サイトのアカウントやクレジットカードを不正利用された時の実際の対処

実際に今回私が行った対処について、ご紹介したいと思います。

私のような遠隔操作型の被害でなくとも、このような被害に遭われた場合の対処方法としては同じようなものになると思います。優先順位の高いものから順に書いてみます。

最も重要なのは、冷静になることです。冷静になって順番にできる対処をしていきましょう。

    実害が出ない状態にする

    被害の進行を食い止める

  • PCの制御が効かない場合はすぐに強制終了する
  • ネットワークを通じてウイルスが情報を漏洩している可能性がある場合、ネットワークを切断する
  • Amazonなど不正利用されている通販サイトのアカウントのパスワードを早急に変更する(安全な端末から:例iPhone)
  • 実害が出る前に食い止める

  • 不正利用されたアカウントに紐付いているクレジットカード会社に電話し停止する
  • Amazonなど不正利用されているアカウントの登録サイトに連絡し被害の旨を正確につたえ、調査を願う(Amazonであれば調査後返金をしてくれました)
  • ここまでで被害が今以上に広がらない確証が出るまで、必要があれば各方面に連絡し、対処を要請してください。各方面とは主に、各種サービス会社です。安全が確保できるまでは、あきらめずに落ち着いて、対処してください。安全が確保できたら次です

    被害状況・原因を調査する

  • ウイルススキャンソフトでウイルスを検出する
  • PCになんらかの不審な点がないか、確認する(視覚的な変化・身に覚えのない検索履歴やソフトウェアの存在、届くはずのメールが届かない・消えているなど)
  • 想定外のところで被害がないか、被害を受けたアカウントに紐づく全てのアカウントを確認する
  • 原因を調査する術がないか、Appleなどに連絡を取ってみる(私の場合、Appleカスタマーセンターで親身に対応していただきました。可能性と、今後の動きについてアドバイスをいただけました)
  • PCを正常な状態に戻す

  • OSのクリーンインストールをお勧めします
  • 次の被害を食い止める

  • 不正利用されたアカウントに関連する別サービスのアカウントのパスワードを全て変更する

OSのクリンインストールに関しては下記を参考にしました。少しでも以前のデータが残っていると、気持ち悪いな、と感じたので完全にクリーンインストールにして、復元もしませんでした。

【Mac】OS X Yosemite をクリーンインストール(初期化)する方法 | iTea4.0

OSのクリーンインストール方法。OS X El capitanですが、こちらの記事を参考にさせていただきました


Amazon・三井住友Visaクレジットカードの迅速な対応

私の場合は、実際に物を購入された後に気づいたので、Amazon、クレジットカード会社に対応をお願いしましたが、どちらも迅速で丁寧・かつ親身な対応をいただき、非常に助かりました。

今回私が勝手に購入された、AmazonコインはAndroid端末で使うことのできるアプリ内課金コインらしく、購入はされましたが、まだ私のアカウントに残っていたため、返金もスムーズだったのかもしれません。そもそも私はAndroid端末を持っていませんでしたので一切確認はできなかったのですが。

とにかく、Amazonの対応は早く、まずは調査をして、不正利用であると判断したらメールにて返金の案内をするとのことでした。実際は、当日の夜には不正利用という判断となり、返金の旨のメールが届いていました。

また私はAmazonの返金を待たずにクレジットカードを停止させました。この点について、クレジットカード会社の方に、「Amazonから返金があるかもしれない」との旨をお話ししたら、「Amazonさんと連携して対応する、担当者の名前は覚えていますか?」と聞かれました。残念ながら私は担当者の名前を覚えていませんでしたが、しっかり対応していただけました。もしAmazonとクレジットカード会社など様々なサービス会社に連絡される場合は、担当者の名前を控えておくと、スムーズに連携をしていただけるかもしれません。

クレジットカード会社の方は、「不正に請求されたお金については一切お支払いいただくことはありません」とおっしゃっておられました。本当に、心強い言葉で、私の不安が一掃された瞬間でもありました。こういった質のいいサービスを受けると、この後も安心して使い続ける気にもなれます。ステマみたいですが、本当に感謝しています笑

Amazon、三井住友Visa及びAppleのカスタマーサービスの皆さんには心より感謝しております。

Macでウイルス被害に遭わないために・対策

最後に、対策についてお話ししようと思います。と言いましても、まだ吟味中でもありますので、追記するかもしれません。

①PCのセキュリティを高める設定を行う

PCの設定で出来るセキュリティを高めることが敵に対する最初の防衛手段となります。設定をしっかり見直しましょう。

私は下記の記事を参考に行いました。

参考記事 被害の前に!Macを買ったら絶対にやるべき10の無料セキュリティ対策

②ルーターのセキュリティを高める設定を行う

怪しいアクセスや、攻撃のようなアクセスがあった時に一番最初にネットワークを保護してくれるものがルーターです。ルーターにきっちりログインパスワードを設定して、ルーターのファイアウォール設定をきっちりしましょう。

③ウイルス対策ソフトを導入する

やはりどう転んでもこれが一番ですよね。

④PCに長時間触らない時は、電源を切る

私は正直今までPCの起動時間が長いことがウイルス被害を受けるリスクを高める危険性について意識して言いませんでした。

しかし、一定時間でPCのスリープを解除して動き出すことが組み込まれたプログラムが意図しないうちにインストールされていたとしたら?など様々なリスクが存在していることを意識しだしました。

自分の見ていない間にPC内をスリープから解除して暴れ放題だと思いませんか?私はそこまで詳しくはありませんが、今回の被害はPCの電源さえOFFにしていれば防げたのではないかと考えています。

PCがOFFになっていれば、ソフトウェアも動くことができないためです。OFFにしなくてもしっかりスリープ解除時にはパスワードの入力を求めること、可能ならシャットダウンすること、を徹底していこうと思います。

結局何をしても100%ウイルスの侵入を防げる保証が得られるわけではないわけで、やっぱり使わないときは電源を切ることが重要なんじゃないかな、と個人的な結論として至りました。

自分の見ている時にウイルスに感染してもそこまで被害は出ないと思うんですが、見ていないときに動かれるのが一番怖い、と今回感じたからです。

最後に

今回の被害で正直かなりまいりました。実害が出たわけではないので、まあその点は良かったのですが、自分の不可侵領域と考えていた自宅のPC環境がこんなにいとも簡単に踏み荒されるという事実に、正直ショックが大きかったです。

二日くらい食欲がわかないくらい、自分でも驚くくらいショックでした。皆さんも気をつけてください!

なんだかんだで本格的にこういう被害にあったのは初めてで、いい経験になったと思います