昨今では、ウェブカメラやマイクを乗っ取って、秘密裏にユーザーの発言や行動を記録しようとするマルウェアが出回っている。

しかし、Mac用の同様のマルウェアとなると、やや事情が異なる。なぜなら、Appleのラップトップには、ハードウェアにウェブカメラが使用中であることを知らせるインジケーターランプが組み込まれているからだ。少なくとも、ユーザーは自分が見られていることを知ることができる。

しかし新たに見つかった、すでに利用されているウェブカメラに相乗りする攻撃手法であれば、この状況も変わるかもしれない。セキュリティ企業SynackのPatrick Wardle氏は、米国時間10月6日のVirus Bulletinカンファレンスで調査結果を発表する。

数多くのマルウェアのサンプルを調べたWardle氏は、最新のMacであっても、攻撃者がインジケーターランプを利用してマルウェアの活動を隠蔽（いんぺい）し、簡単に通話やビデオチャットの内容を記録することができると考えている。

この「攻撃」では、マルウェアはシステムを秘密裏に監視し、ユーザーがビデオを使用したセッション（「FaceTime」や「Skype」のビデオ通話など）を開始したかどうかを調べる。その後、使用されているウェブカメラやマイクに相乗りして、秘密裏にそのセッションを記録するのだ。インジケーターはすでに点灯しているため、マルウェアが活動している兆候はユーザーには見えず、気づかれる恐れなしに音声と動画の両方を記録することができる。

結局のところ、ハッカーや国家が見たいのは、一日中デスクの前で座ってユーザーがもぞもぞ動いている姿ではなく、通話やビデオチャットの内容だ。

Wardle氏は筆者への電子メールの中で、ユーザーが正規の方法でウェブカメラやマイクを使用しているときは、より秘密度が高い情報を扱っている可能性が高いと指摘している。例えば、ジャーナリストと情報提供者との会話、企業幹部との重要な打ち合わせ、FaceTimeでのプライベートなパートナーとの会話などは、すべて計り知れないほど重要な情報になり得る。

同氏が作成した新しいツール「Oversight」は、正規のビデオ通話アプリに相乗りしようとする不正なウェブカメラへの接続をブロックし、マイクが使用されている時にはユーザーに知らせることを目的としたものだ。

このツールは、マルウェアがウェブカメラを使用しているセッションに相乗りしようとすると、ユーザーが悪用をブロックできるように、その旨をユーザーに通知する。Wardle氏によれば、このツールはそのプロセスのログを記録しており、セキュリティ専門家やシステム管理者が詳しく調査できるようになっているという。



Wardle氏が作成したツールであるOversight

提供：Patrick Wardle Wardle氏が作成したツールであるOversight提供：Patrick Wardle

幸い、Wardle氏はまだこの手法を使っているMac用のマルウェアを発見していないが、これを実装するのは難しくないと述べている。

Wardle氏はこのアプリを、自分のウェブサイトで無料で公開している。