新たな分析によると、Appleはサードパーティのウイルス対策企業とマルウェア定義を共有していないようだ

中東の人々をスパイすることを目的としたマルウェアを新たに調べたところ、Apple が既存の脅威の定義をサードパーティのウイルス対策 (AV) 企業と少なくとも一貫して共有していないことが判明した。

Macセキュリティ専門家のパトリック・ウォードル氏は、マルウェアを含むファイル「Meeting_Agenda.zip」の分析結果を発表し、このファイルを適切に検出できたのはKasperskyとZoneAlarmの2つのアンチウイルスプロバイダーだけだったと指摘しました。セキュリティ専門家がよく利用するサイトVirusTotalで関連ファイルを検索したところ、ウォードル氏はさらに4つのファイルを発見しましたが、そのうち3つはどのアンチウイルスプラットフォームでも検出されず、最後の1つはわずか2つのアンチウイルスプラットフォームでしか検出されませんでした。

「すべてのサンプルの署名証明書が失効している（CSSMERR_TP_CERT_REVOKED）という事実は、Appleがこの証明書を認識していることを意味する...したがって、このマルウェアについても確実に認識している...しかし、サンプルの大部分（4つのうち3つ）はVirusTotalのウイルス対策エンジンで1つも検出されていない」とウォードル氏は書いている。

これを踏まえると、Appleは業界標準の慣行に従ってデータを共有していないと考えられます。macOSは2009年のSnow Leopardのアップデート以降、独自のマルウェア対策機能を備えていますが、サードパーティに定義を提供することで、コードを検出して削除し、拡散を防ぐ可能性が高まります。

Ars Technicaは、Wardle氏が分析したマルウェアは無力化されており、たとえMacが感染したとしても、このマルウェアがアクセスしようとする制御サーバーはもはやオンラインではないと述べている。マルウェアが活動していた当時は、macOSの防御を回避し、Windshiftと呼ばれるグループのために文書やスクリーンショットを盗み出そうとしていた。