Jamfの研究者らは、2021年にAppleの認証チェックを通過し、ごく最近まで気付かれなかったChillyHellと呼ばれるMac用バックドアについて詳細を報告した。
Jamf Threat Labsは、2025年9月にVirusTotalに5月にアップロードされたサンプルを分析し、この調査結果を発表しました。このマルウェアは2021年にAppleの自動チェックを通過しており、研究者がフラグを立てるまでは公証されていました。
つまり、Macユーザーなら誰でもセキュリティ警告なしに実行できたということです。Jamfは定期的なサンプル分析中にこのマルウェアを発見し、異常なプロセス偵察を行っていることが分かりました。
このマルウェアファミリーは以前にも記録されていたものの、完全には分析されていませんでした。それ以前の言及は、2023年にMandiantが非公開で発表したレポートで、2022年にウクライナ政府関連のウェブサイトに侵入したUNC4487と呼ばれるグループとの関連性が示唆されていました。
この攻撃では「Matanbuchus」というマルウェアも配信されました。メタルバンドの名前だと思っても無理はありません。その後、捜査官は同じ開発者証明書にリンクされた追加のサンプルを発見しました。
2 社は ChillyHell の名前を冠しており、Jamf の最新レポートではようやく、不足していた技術的な詳細が明らかになりました。
公証の問題
Appleの認証システムは、ソフトウェアに既知の悪意のある署名が含まれていないか確認することでユーザーを保護することを目的としています。開発者がアプリを提出すると、Appleがそれをスキャンし、認証された結果があれば、そのアプリはmacOS Gatekeeperの警告をトリガーすることなく実行できます。
実際には、完全に安全というわけではありません。ChillyHellは開発者IDで署名され、2021年に承認されているため、正規ソフトウェアと同等の正当性が認められています。
それ以来、このファイルはDropboxで公開され続けていました。Jamfがこのサンプルにフラグを立てた後、Appleは関連する証明書を失効させました。
ChillyHellマルウェアの技術的解剖
Jamfの分析によると、ChillyHellはIntelベースのMacを標的とするモジュール型のC++バックドアです。サンプルは無害なmacOSアプレットを装っていましたが、通常は動作に必要なAppleScriptそのものを組み込んでいませんでした。
マルウェアが実行されると、まずホストのプロファイリングを行い、永続性を確立し、コマンド&コントロール接続を確立します。ユーザー向けのLaunchAgent、ルートアクセス向けのLaunchDaemonとして自身をインストールしたり、シェルプロファイルファイルにコマンドを挿入したりする可能性があります。
これらの方法が失敗した場合、.zshrcファイルの改ざんといった従来の手法が利用されました。これらの手順により、バックドアは感染したMac上でアクティブな状態を維持できました。
コマンド&コントロールのトリック
潜伏状態を保つため、タイムスタンプを使ってファイルの作成日と更新日を書き換えました。また、ユーザーのブラウザに偽のGoogleホームページを表示させ、おそらくは活動が無害に見えるように仕向けました。
ChillyHellはDNSとHTTPの両方を使用して、ハードコードされたIPアドレスに接続しました。その後、60秒から120秒の間のランダムな間隔で一時停止し、その後再開しました。
接続後、タスクを繰り返し取得し、重複がないか確認しました。その後、モジュールシステムを通じて新しいコマンドを実行しました。
- ModuleBackconnectShell: 攻撃者へのリバース シェルを作成し、妙に明るいバナー「Welcome to Paradise」を追加しました。
- ModuleUpdater: オペレーターの新しいバージョンに置き換えられました。
- ModuleLoader: C2 サーバーからペイロードをダウンロードして実行し、その後ファイルをクリーンアップしました。
- ModuleSUBF:ツールと単語リストをダウンロードし、ローカルユーザーアカウントへの侵入を試みるブルートフォース攻撃型のパスワードクラッカー。研究者らは、ファイル名と動作に基づいてKerberos認証を標的にしていたと推測しています。
これらのプラグインはマルウェアに並外れた柔軟性を与え、macOS環境では際立った存在となっています。ブルートフォース攻撃機能を備えたモジュール式バックドアは、Macでは稀です。
AppleのChillyHellへの対応
Jamfが調査結果を発表した後、そしてこの発表よりかなり前に、AppleはChillyHellに関連する開発者証明書を失効させました。これにより新規インストールは阻止されましたが、既に感染しているマシンには効果がありません。
これらのシステムは、変更された LaunchAgent ファイルや /usr/local/bin/qtop 内の隠しバイナリなどの侵害の兆候を使用して手動でクリーンアップする必要があります。
AppleはChillyHellに関連する開発者証明書を取り消した。
研究者たちは、マルウェアファミリーの特定に役立った初期の研究に対し、Googleの脅威インテリジェンスチームに感謝の意を表した。しかし、Appleにとってより大きな教訓となるのは、認証は必ずしも保証ではなく、認証を保証として扱うことでユーザーを油断させてしまうリスクがあるということだ。
なぜそれが重要なのか
ChillyHellがAppleの認証プログラムに長期間登録されていることは、いくつかの難しい問題を提起しています。もし、ブルートフォース攻撃ツールを備えたモジュール式バックドアがすり抜けられるのであれば、さらに多くの脆弱性が潜んでいる可能性があります。
Appleは自社のエコシステムがWindowsよりも安全だと頻繁に宣伝していますが、macOSでは感染が広範囲に及ばないため、多くの点で依然としてその通りです。攻撃者が大規模攻撃ではなく標的型のセキュリティ侵害に注力するにつれ、Macは無敵という考えは薄れつつあります。
攻撃を成功させるには、適切な標的を狙うだけで十分です。認証された柔軟なバックドアは、まさにこのアプローチに最適です。
ウクライナとの関連性は、地政学的な要因が関与していることを示唆している。研究者らによると、ChillyHellと最初に関連づけられたグループであるUNC4487は、政府職員を標的にしていたという。
ハッキングされたシステムへのアクセスを販売することは、サイバー犯罪の世界では利益を生む副業となっています。ChillyHellのようなマルウェアは、スパイツールと商用エクスプロイトの境界線を歩んでいます。
ChillyHellマルウェアから身を守る方法
ChillyHell事件は、Macを日常的に使う人にとって、認証を難攻不落の要塞ではなく、警備員の検問所として扱うべきことを改めて認識させるものです。Appleのチェックは多くの欠陥を見逃しませんが、すべてを見逃すわけではありません。
Mac App Storeから入手したアプリを使うのが安全ですが、万全ではありません。Webからソフトウェアをダウンロードする場合は、インストール前に開発元の身元と評判を確認してください。
Appleはセキュリティ上の欠陥をひそかに修正することが多いため、macOSを常に最新の状態に保ってください。また、特に機密性の高い分野で働いている場合は、信頼できるセキュリティツールで定期的にマルウェアスキャンを実行することをお勧めします。
奇妙なプロセス、予期せぬシステム速度低下、あるいは/usr/local/binなどの場所に奇妙なファイルを見つけたら、無視しないでください。それは、何か望ましくないものが侵入してきた最初の兆候かもしれません。
