Macは安全か?macOSユーザーにとっての脅威

Macは本当に安全なのでしょうか?macOSユーザーを標的としたマルウェアに関する最近の事例をご紹介します。

多くのAppleユーザーは、macOSのオペレーティングシステムは極めて安全で、サイバー脅威やデバイスの保護について心配する必要はないと信じています。しかし、これは事実とはかけ離れています。macOSのマルウェア少ないものの、Appleユーザーが考えるよりもはるかに頻繁に確認されています。

この記事では、macOSユーザーが直面している脅威と、Macを効果的に保護する方法について説明します。macOSを標的としたウイルスが存在するという事実を説明するために、最近発表された、マルウェアファミリーに関する最新の研究を3つご紹介します。

BlueNoroffがmacOSユーザーを攻撃し、暗号通貨を窃取

2023年10月下旬、当社のリサーチャーは、韓国語話者のAPTグループ、Lazarus傘下のBlueNoroffに関連するとみられる新しいmacOS向けトロイの木馬を発見しました。この集団は金融機関への攻撃を専門とし、特に2つの攻撃に重点を置いています。1つ目は、SWIFTシステムへの攻撃(かの有名なバングラデシュ中央銀行の不正送金事件がこれに含まれます)、2つ目は個人や組織からの暗号通貨の窃盗です。

今回発見されたmacOS向けのダウンローダー型のトロイの木馬は、悪意のあるアーカイブ内に紛れて配布されます。これは「Crypto-assets and their risks for financial stability(暗号資産と金融安定に関するリスク)」というタイトルのPDFドキュメントを装ったもので、このドキュメントのプレビューを模したアイコンが使用されています。

トロイの木馬がダウンロードした偽のPDFファイル。<a href="https://securelist.com/bluenoroff-new-macos-malware/111290/" target="_blank" rel="noopener">出典</a>

トロイの木馬がダウンロードした偽のPDFファイル。出典

ユーザーがPDFを装ったトロイの木馬をクリックすると、スクリプトが実行されます。これによって、対応するPDFドキュメントが実際にインターネットからダウンロードされて開きます。もちろんそれだけではなく、このトロイの木馬の主な役割は、別のウイルスをダウンロードすることです。そのウイルスは、感染したシステムに関する情報を収集してC2に送信し、2つの実行可能なアクション(それ自体を削除することと、サーバーからの応答として送信された悪意のあるコードをファイルに保存して実行すること)のいずれかがコマンドで実行されるのを待機します。

macOS向けの海賊版ソフトウェアに潜むプロキシ型トロイの木馬

2023年11月下旬、当社のリサーチャーは、Macユーザーを脅かすもう1つのマルウェアインスタンスを発見しました。これは、macOS向けの海賊版ソフトウェアと一緒に配布されるプロキシ型トロイの木馬です。具体的には、このトロイの木馬は、クラックされたビデオ編集プログラム、データ復旧ツール、ネットワークユーティリティ、ファイルコンバータ、およびその他のさまざまなソフトウェアのPKGファイルに紛れ込んでいました。Securelistで公開されているレポートの最後に、当社の専門家によって発見された感染したインストーラーの全リストが掲載されています。

前述のように、このマルウェアは、プロキシ型トロイの木馬のカテゴリに属します。感染したコンピューターでプロキシサーバーを設定し、実質的にインターネットトラフィックをリダイレクトするホストを作成するマルウェアです。その後サイバー犯罪者は、こうした感染したデバイスを使用してプロキシサーバーの有料ネットワークを構築し、そのようなサービスを利用しようとするユーザーから金銭を窃取することができます。

あるいは、トロイの木馬の所有者が、感染したコンピューターを直接使用して、Webサイトや企業、その他のユーザーへの攻撃、武器、薬物、その他の違法な商品を購入したりするなど、被害者の名前で犯罪行為を行うこともあります。

偽のSafariブラウザーのアップデートに潜むアトミックスティーラー

2023年11月には、アトミックというスティーラーのカテゴリに属する​​macOS向けの別のトロイの木馬を拡散する新たな悪意のあるキャンペーンを発見しました。このタイプのマルウェアは、被害者のコンピューター上にあるあらゆる種類の貴重な情報、特にブラウザーに保存されているデータを検索、抽出し、作成者に送信します。ログイン情報とパスワード、銀行カードの詳細、仮想通貨ウォレットの鍵、およびこの種の機密情報は、犯罪者にとって特に価値があります。

アトミック型トロイの木馬は、2023年3月に初めて発見されて、報告されました。最近になって攻撃者がSafariとChromeブラウザーの偽のアップデートを使用してアトミック型トロイの木馬を拡散しているのが確認されています。こうした攻撃はこれまで行われていませんでした。これらのアップデートは、元のAppleとGoogleのWebサイトを巧妙に模倣した悪意のあるページからダウンロードされます。

実際にはアトミックスティーラーが含まれている偽のSafariブラウザーのアップデートを含むサイト

実際にはアトミックスティーラーが含まれている偽のSafariブラウザーのアップデートを含むサイト。出典

このトロイの木馬が一度システム上で実行されると、標的のコンピューターから次の情報を盗み出そうとします。

  • cookies
  • ブラウザーに保存されているログイン情報、パスワード、銀行カードの詳細
  • macOSパスワード保管システム(Keychain)のパスワード
  • ハードドライブに保管されているファイル
  • 50以上の人気のある仮想通貨拡張機能の保管データ

macOSのゼロデイ脆弱性

たとえ不審なファイルをクリックしたり、不明な送信元からの添付ファイルを開かないなど、どんなに気を付けていても、残念ながらセキュリティは100%保証されません。どのソフトウェアにも、攻撃者がデバイスを感染させるために悪用できる脆弱性が必ず存在し、攻撃にユーザー自身の操作をほとんど、あるいは全く必要としないことを覚えておくことが重要です。macOSオペレーティングシステムも例外ではありません。

最近、Safariブラウザーで2つのゼロデイ脆弱性が発見されましたAppleの発表によると、それらの脆弱性は、発見時にはもうサイバー犯罪者によって悪用されていました。攻撃者は、標的を悪意のあるWebページに誘導するだけで、ユーザーが何の操作を行うことなくデバイスを感染させて、デバイスをコントロールし、そこからデータを盗み出すことができます。これらの脆弱性は、Safariブラウザーを使用するすべてのデバイスに及び、iOS/iPadOSユーザーとMac所有者の両方に脅威をもたらします。

これはよくあるケースです。Appleのオペレーティングシステムは多くのコンポーネントを共有しているため、脆弱性は企業の1つのオペレーティングシステムだけでなく、すべてのオペレーティングシステムに及ぶことがよくあります。いわば、MacはiPhoneの普及によって危険にさらされているのです。iOSユーザーが主な標的ですが、これらの脆弱性はmacOSへの攻撃にも同じように簡単に利用することができます。

2023年、Appleのオペレーティングシステムで発見され、攻撃者によって積極的に悪用されたのが確認されているゼロデイ脆弱性は、合計19件です。このうち、影響を受けたmacOSユーザーは17名で、そのうち10名以上が高リスク状態、1名が重大と分類されました。

iOSおよびmacOSのゼロデイ脆弱性:CVE-2023-42917、CVE-2023-42916、CVE-2023-42824、CVE-2023-41993、CVE-2023-41992、CVE-2023-41991、CVE-2023-41064、CVE-2023-41061、CVE-2023-38606、CVE-2023-37450、CVE-2023-32439、CVE-2023-32435、CVE-2023-32434、CVE-2023-32409、CVE-2023-32373、CVE-2023-28204、CVE-2023-28206、CVE-2023-28205、CVE-2023-23529

2023年に発見された、サイバー犯罪者によって積極的に悪用されたmacOS、iOS、iPadOSのゼロデイ脆弱性

その他の脅威とMacを保護する方法

覚えておくべき重要な点は、マルウェアに匹敵する危険性がある、オペレーティングシステムに依存しないサイバー脅威が数多く存在することです。特に、次の脅威に注意してください。

  • フィッシングおよび偽のWebサイト。フィッシングメールやフィッシングWebサイトは、WindowsユーザーとMac所有者の双方に対して同じように機能します。残念なことに、すべての偽のメールやWebサイトが簡単に見分けられるわけではないため、経験豊富なユーザーであっても、ログイン情報が盗まれるリスクに直面することがよくあります。
  • WebスキマーなどのWebの脅威。マルウェアはユーザーのデバイスだけでなく、通信先のサーバーにも感染する可能性があります。たとえば、攻撃者は、保護が不十分なWebサイト、特にオンラインストアをハッキングし、Webスキマーをインストールすることがよくあります。これらの小さなソフトウェアモジュールは、訪問者が入力した銀行カードのデータを傍受して盗み出すように設計されています。
  • 悪意のあるブラウザー拡張機能これらの小さなソフトウェアモジュールはブラウザーに直接インストールされ、ブラウザー内で動作するため、使用されているOSには依存しません。拡張機能は、一見無害であるように見えますが多くのことを行うことができます。訪問したすべてのページのコンテンツを読み取ったり、ユーザーが入力した情報(パスワード、カード番号、暗号通貨ウォレットの鍵)を傍受したり、表示されたページのコンテンツを置き換えたりすることができます。
  • トラフィックの傍受と中間者MITM)攻撃。最近のWebサイトのほとんどは暗号化された接続(HTTPS)を使用していますが、それでもデータのやり取りが傍受される可能性のあるHTTPサイトに遭遇することがあります。サイバー犯罪者はこのような傍受を利用してMITM攻撃を開始し、正規のページではなく偽のページや感染したページをユーザーに表示します。

デバイス、オンラインサービスアカウント、そして最も重要なこととして、それらに含まれる貴重な情報を保護するために、MacコンピューターとiPhone/iPadの両方に包括的な保護機能を使用することが重要です。このような保護機能は、あらゆる脅威に対抗できなければならないため、独立したテスト機関から数々の賞を受賞しており、その有効性が認められた、カスペルスキー プレミアムのようなソリューションが適しています。

[banner Kaspersky Premium Geek]

ヒント
新着記事をメールでお知らせします