セキュリティアップデート 2011-003の解説ページでは、Macにアップデートを適用する際の方式変更について説明されている。以前は、Appleのソフトウェアアップデートによって新たな定義ファイルが配信されるようになっていたが、今回のアップデートを適用することで、ユーザーが設定を変更しない限り「ファイルの隔離に用いられるマルウェア定義リストのアップデート有無は、システムによって毎日チェックされる」ようになる。
定義リストは暗号化されていないテキストファイルであるため、その内容を確認すればどういった変更が加えられているのか正確に把握できる。アップルとマルウェア作成者はいたちごっこを続けており、これまでに発覚した少なくとも15種の亜種についてAppleはそれぞれ特定のアルファベットを割り当てている。またAppleは、XProtect.plistという名前の定義ファイルを頻繁に更新しており、アップデートの適用後19日が経過した時点でこのリストは20回の改訂を数えるまでになった。
マルウェア対策はSnow Leopardのみ
こういったマルウェア対策機能はMac OS X 10.6(Snow Leopard)のみで利用可能となっている。Mac OS X 10.5(Leopard)については、まだサポート対象であり使用しているユーザーもいるものの、この機能は利用できない。また、ファイル隔離機能の対象となるファイルは、ウェブブラウザや一般的な電子メールプログラムなど同社がサポートするアプリケーション経由でダウンロードされたもののみで、それ以外の場所からダウンロードされた場合は対象となっていない。さらに、Macがアップデートをチェックするのは1日1回のみとなるため、気づかないまま古い定義ファイルを丸1日使い続けることもあり得る。
Appleのセキュリティアップデートには、非常に重要な情報が欠落している。ダウンロードしたファイルが自動的にオープンされるようになるというSafariの設定には一言も触れられていないのだ。つまり、この設定が有効になっている場合、勝手にマルウェアのインストールが開始されるようになり、攻撃対象となるMacの脆弱性が高まってしまうのだ。
問題は「ダウンロード後、“安全な”ファイルを開く」というチェックボックスのデフォルトがオンになっている点にある。Safariはインストールパッケージファイルを安全なものと見なすため、ダウンロードが完了するとすぐにインストーラを起動してしまうのである。こうなると後は、ソーシャルエンジニアリングのテクニックを駆使し、いかに多くのユーザーを騙し、インストールを許可させるかという話になってくるわけだ。