2024年はマルウェア・アズ・ア・サービス・プラットフォームとAIによる脅威の台頭により、AppleのmacOSは攻撃にさらされており、Macのセキュリティにとって転換点となる年となる。
長年、macOSはマルウェア耐性に優れているという評判を誇ってきましたが、2024年になって状況は一変しました。マルウェア・アズ・ア・サービス(MaaS)プラットフォームや人工知能の台頭に後押しされ、macOSユーザーを標的とするマルウェアが急増し、その状況は一変しつつあります。
MacPawのサイバーセキュリティ部門であるMoonlockがmacOS脅威レポートで明らかにしたように、Appleプラットフォームはサイバー犯罪者にとって格好の標的となりつつあるという憂慮すべき傾向を浮き彫りにしています。レポートでは、安価なプラグアンドプレイ型のマルウェアキットから、主要な保護機能を回避する高度なAI生成エクスプロイトまで、攻撃者が用いる進化する戦術を詳細に分析しています。
しかし、多くの攻撃はシステムの欠陥が原因ではありません。ユーザーがシステムに組み込まれた安全対策を無効にしたり、意図的または偶発的に悪意のあるソフトウェアをインストールさせられたりすることで発生します。
拡大するMacマルウェア市場
サイバー犯罪者はかつて、ユーザー数の少なさからMacをほとんど無視していましたが、今ではMacを、長年悩まされてきたWindowsに加え、新たな攻撃の機会と捉えています。懸念されるのは、macOSの脆弱性を悪用するツールがいかに容易に入手できるようになったかということです。
10年前、プラットフォーム向けのマルウェアを作成するには、高度な技術スキルとコンピューティングリソースが必要でした。現在では、AMOS StealerのようなMalware as a Service(MaaS)プラットフォームによって参入障壁が低くなっています。
月額わずか1,500ドルで、経験の浅いハッカーでもユーザーデータの窃盗プロセスを自動化するツールキットを購入できます。この手頃な価格が、ハッカーの侵入口を開いたのです。
マルウェアの急増を加速させるもう一つの要因は、人工知能(AI)の利用です。Moonlockが明らかにしたように、ChatGPTのようなAIツールはダークネットフォーラムでハッカーにマルウェア作成プロセスを段階的にガイドするために使用されています。
マルウェアの内訳。画像提供:Moonlock
これらのツールは、スクリプトを生成したり、インストールファイルにマルウェアを詰め込んだり、さらには攻撃者にmacOSのGatekeeper保護を回避する方法を教えたりすることができます。AIを活用したマルウェアにより、初心者でも数年前には到底不可能だった脅威を展開することが可能になります。
攻撃者は、ソーシャルエンジニアリングや技術的な操作によってmacOSのGatekeeperの保護を回避し、ユーザーの信頼とシステムの脆弱性を悪用します。これらのサイバー犯罪者は、偽のプロンプトや、正規のソフトウェアをインストールすると謳う詳細な手順でユーザーを騙し、Gatekeeperを無効化させます。
信頼できるアプリやシステムアップデートを装ったマルウェアは、セキュリティ警告を無視します。場合によっては、攻撃者が有効なApple開発者証明書を入手または盗用して悪意のあるソフトウェアに署名し、Gatekeeperの検証を回避します。
2024年のMacマルウェア
Macに対する脅威は長年、アドウェアとランサムウェアが主流でした。ユーザーを困らせたり、金銭を要求したりするために設計されたこれらのツールは、2024年まで有効でした。
ユーザーの認知度向上と保護対策の強化により、アドウェア攻撃の収益性は低下しています。macOSにおけるランサムウェアは、Windowsほど巧妙化も成功もしていません。
代わりに、ハッカーは、パスワード、Cookie、暗号通貨ウォレットの詳細などの機密データを密かに収集するように設計されたマルウェアである Stealer に注目しています。
2024年8月、セキュリティ研究者は、月額500ドルという低価格でサイバー犯罪者に販売されている新たなmacOSマルウェア「Cthulhu Stealer」を発見しました。このマルウェアは、『グランド・セフト・オートIV』やCleanMyMacといった正規のソフトウェアを装い、ユーザーを騙してダウンロードとインストールを促していました。
インストールされると、ユーザーに機密情報の入力を促し、その情報を攻撃者に送信します。Cthulhu Stealerは「Atomic Stealer」と類似点があり、開発者がコードを再利用した可能性が示唆されています。
8月に確認されたもう一つのスティーラーは「Banshee Stealer」です。このマルウェアは、感染したシステムからシステムの詳細、パスワード、特定のファイルタイプなど、広範な情報を収集しました。特にロシア語圏のシステムでは、仮想環境やAPIの特定といった検出回避技術を用いて検出を回避していました。
このマルウェアは、月額3,000ドルという高額な料金で、地下フォーラムで有料ツールとして配布されていました。これは、その高度な技術と、深刻なサイバー犯罪者による使用を意図したものだったことを示しています。しかしながら、AppleがBansheeにパッチを当てたという明確な兆候はありません。
一方、2024年9月、サイバーセキュリティの専門家は、HZリモートアクセスツール(HZ RAT)と呼ばれる新たなmacOSの脅威を発見しました。このマルウェアは、感染したシステムに対する完全な管理権限を攻撃者に付与しました。
HZ RATは通常、OpenVPN Connectなどの人気アプリケーションの改ざん版を通じて配布されていました。インストールされると、追加のソフトウェアをインストールし、スクリーンショットをキャプチャし、キーストロークを記録し、WeChatやDingTalkなどのアプリからユーザーデータにアクセスしました。
このマルウェアは、スケジュールされたタスクを作成したり、起動スクリプトを改変したりすることで、システムへの永続的なアクセスを確立し、再起動後に再ロードされるようにしました。また、中国のコマンド&コントロールサーバーと通信して、窃取したデータを送信し、指示を受信しました。
HZ RATは、攻撃者が追加のペイロードをインストールし、ランサムウェアの展開、機密データの窃取、感染システムのボットネットへの利用といった活動をエスカレートさせることができました。HZ RATの多段階攻撃機能により、HZ RATは多用途かつ危険なツールとなりました。
攻撃者がどのように脆弱性を悪用するか、またその手法が進化していることを理解することは、保護された状態を維持するための 1 つの方法です。
脆弱性と攻撃方法
ハッカーは、正当なものに見える偽のプロンプトを表示するなど、トリックを使って、ユーザーが macOS の保護機能を手動で無効にするように仕向けることができます。
ChatGPTをマルウェアに利用する。画像提供:Moonlock
ソーシャルエンジニアリングはGatekeeperを完全に回避するため、一度インストールされたマルウェアは自由に活動できます。macOSの組み込み保護機能を長年信頼してきたユーザーにとって、これはすべてのポップアップやプロンプトを精査するべきという警鐘となるでしょう。
ソーシャルエンジニアリングに加え、攻撃者はmacOSデバイスへの足掛かりを得るために強力なツールを活用しています。システムへの永続的なアクセスを可能にするバックドア型マルウェアは、2024年に活動が大幅に増加しました。
これらのバックドアは、攻撃者がシステムの防御を突破するために利用するソフトウェアの脆弱性であるエクスプロイトと連携して動作することがよくあります。Moonlockのデータによると、これらの協調攻撃は、特に2024年4月の標的型攻撃において急増しました。
Appleは、Moonlockの2024年macOS脅威レポートで指摘された脆弱性に対処しました。2024年11月には、JavaScriptCoreとWebKitのゼロデイ脆弱性(CVE-2024-44308およびCVE-2024-44309)を修正するiOS 18.1.1およびmacOS Sequoia 15.1.1のアップデートをリリースしました。
さらに、2024 年 9 月、Apple は、悪意のある攻撃者が特別に細工した ZIP アーカイブを使用して Gatekeeper 保護を回避できる脆弱性に対処しました。
スティーラーは増加傾向にありますが、Windowsを標的とした高度な攻撃に比べると、その効果は限定的です。Macのアーキテクチャとデフォルトの保護機能は、ハッカーにとって大きな障害となっています。
ほとんどのスティーラーは高度な難読化や永続化メカニズムを備えておらず、ユーザーの基本的なミスを悪用しています。システムを最新の状態に維持し、Mac App Storeを利用し、セキュリティ機能を無効にしているユーザーにとって、リスクは低いでしょう。
Appleはこれらの脅威を深刻に受け止めており、「Controlクリック」の削除やGatekeeperバイパスの脆弱性に対するパッチ提供などのアップデートを実施しています。XProtectの改良と定期的なシステムアップデートと相まって、Macの防御力は依然として強固です。
安全を保つ方法
2024年のmacOSマルウェア情勢は複雑です。Cthulhu StealerやAMOS Stealerといったツールは警戒すべき事態のように思えますが、詳しく見てみると、大規模かつ広範囲にわたる攻撃の証拠はほとんど見当たりません。
こうした活動のほとんどは、広範囲にわたる被害ではなく、小規模なインシデントや理論上のリスクに関わるものです。とはいえ、macOSのセキュリティに対する認識は変化しつつあります。
しかし、それでも自分自身を守ることは可能です。多くの攻撃はソーシャルエンジニアリングを駆使し、ユーザーを騙して自身のセキュリティ設定を回避させます。Macを保護するには、システムプロンプトを隅々まで精査し、疑わしいダウンロードを避け、不明なリンクには近づかないようにすることが重要です。
また、ユーザーはソフトウェアのダウンロードについては Mac App Store などの信頼できるソースに依存し、インストールされたアプリケーションによって要求される権限を再確認する必要があります。
ソフトウェアを最新の状態に保つことは、セキュリティのもう一つの柱です。Appleは脆弱性に対処するためのパッチを定期的にリリースしています。アップデートをインストールすることで、システムは最新の脆弱性攻撃に対する防御策を活用できるようになります。
AMOSの販売。画像提供:Moonlock
追加の保護対策への投資は検討する価値があります。エンドポイント検出・対応(EDR)ソフトウェアや信頼できるウイルス対策ソリューションなどのツールは、さらなる防御層を提供します。
教育も重要です。最新のセキュリティ脅威に関する最新情報を常に把握しておくことで、ユーザーはより適切な判断を下せるようになります。
Moonlockのレポートは、攻撃者がmacOSをどのように見ているかの変化を明らかにしています。プラットフォームのユーザーベースが拡大するにつれ、当然のことながら、サイバー犯罪者にとってより大きな標的となっています。
これはmacOSのセキュリティが以前よりも低下したからではなく、攻撃者がmacOSを標的とすることに大きな価値を見出しているためです。macOSの保護を回避できるツールやテクニックも容易になり、経験の浅い攻撃者でさえユーザーを狙うことが容易になっています。
重要なのは、これらの攻撃がユーザーの行動にどれほど依存しているかということです。多くの侵入は高度なエクスプロイトに頼るのではなく、Gatekeeperなどの保護を回避したり、フィッシング詐欺に引っかかったりするユーザーを狙っています。
AMOSやCthulhu Stealerなどのマルウェアは、ユーザーを騙して権限を付与させたり、一見正当なソフトウェアをダウンロードさせたりすることで増殖します。macOSユーザーにとって、脅威に関する情報を常に把握し、信頼できないダウンロードを避け、システム保護を有効にすることは非常に重要です。
