macOSを狙ったマルウェア

macOSを狙ったマルウェア

執筆：CISO事業部　寺井 　蓮
監修：CISO事業部　吉田 卓史

本記事では、昨今、サイバー攻撃等のネットワークを通じた攻撃が増加していることを受け、私たちの周りにどのようなサイバー脅威が存在しているのかについて紹介します。
さらに本記事で焦点を当てているMacStealerやそのほかの脅威に対し、アイディルートコンサルティング（以下、IDR）の知見を活かした、セキュリティ対策についても紹介できればと考えております。

セキュリティインシデントとMac

2024年、新年度を迎え新たな目標や希望を抱く人や組織が多い中、私たちはそれと同時にセキュリティにも力をいれていかなければなりません。
ここ数年、セキュリティインシデント件数は増加しており、さらにその攻撃手法も多種多様化しています。そして、いたちごっこのように新たな脅威に対する対策を繰り返しています。[1]
セキュリティインシデントの件数増加は、インターネットが普及したことが大きな要因として考えられます。インターネットの普及に伴い、PCを持つことも当たり前になった今、"Mac"か"Windows"のどちらを選ぶか迷われている方も多いのではないでしょうか。
利用するPCを検討する中で、このようなことを耳にしたことはないでしょうか。
「MacはWindowsよりもセキュリティに強い」
多くの方が耳にしたことがあろうこの噂に対し、本記事は一石を投じる内容となるかもしれません。

昨今、Macにおいても後述で説明するトロイの木馬や、safariを経由してマルウェアに感染したセキュリティインシデントが多数報告されています。
検出されたマルウェアはWindowsと比較すると少ないですが、年々macOSのインシデント件数は増加しているため、セキュリティが強いという言葉のみを過信すると重大なインシデントに巻き込まれかねません。
そこで、本記事ではMacを標的にし、我々が日常的に利用するSNSを経由して攻撃を仕掛ける、MacStealerというマルウェアについて記載していきます。
本記事が上記の噂を過信せず、慎重に選べるようになるための一助となれば幸いです。

セキュリティインシデントの要因

では、セキュリティインシデントの要因はどのようなものがあるのでしょうか。

①外部要因

　・マルウェア
　・サイバー攻撃

②内部要因

　・組織内部のユーザーの不注意による情報漏えい　など

③天災や障害

　・地震/台風　など

セキュリティインシデントの要因は複数あります。その中でも、本記事で取り上げるMacStealerはマルウェアに分類されます。

マルウェアとは

ここで、マルウェアについて整理します。
マルウェアとは、悪意を持つという意味のマリシャス（malicious）という英単語とソフトウェア（software）という英単語をかけ合わせた造語であり、悪意をもって作成された不正であり有害なソフトウェアコードのことを示します。 

マルウェアに感染するとどうなる

マルウェアに感染すると、個人情報や機密情報の漏えい・デバイスのアクセス障害等の発生、更には悪意のある攻撃者から身代金を要求されるランサムウェアに発展する可能性があります。

マルウェアの種類

マルウェアには多くの種類があります。[1][2]

①ウイルス

サイトやファイルなどに仕掛けられる。

②ランサムウェア

サイバー犯罪者に利用されることが多いマルウェア。
デバイスに忍び込み、デバイスに格納されたファイルを暗号化し、データ復旧の代わりに金銭を要求する。

③トロイの木馬

無害なアプリケーションを装い、ダウンロード後の起動後に悪意のある動きを見せる。
起動された場合、個人情報の盗難やデバイスに障害を残される可能性がある。

④アドウェア

本来表示されないはずの広告が強制的に表示され、閲覧履歴等が窃取される。

⑤スパイウェア

ユーザーが気付かないうちにデバイスにインストールされ、それに感染した場合、あらゆる通信経路がモニタリングされる。更に、個人情報や閲覧履歴、パスワードなどの情報が窃取される。
感染すると、遠隔地から端末が操作されてしまう。
ボットに感染した端末は攻撃者によって操作され、スパムメールの大量送信が実行され、被害が拡大する可能性がある。

⑥ファイルレスマルウェア

ウイルス対策ソフトでの検知が難しく、気づかないうちにメモリに侵入し、不正なコードやデータの抽出が実行される可能性がある。

MacStealerとは

MacStealerは、上記①のウイルスに分類されるマルウェアになります。
このマルウェアはmacOS、とりわけIntel M1及びM2 CPUを搭載したCatalina以降のmacOSをターゲットとしており、iCloud Keychainデータやパスワード情報、クレジットカード情報などが窃取できるように設計されています。
トレンドマイクロ社によって解析が行われた結果、オンラインスキャニングサービスを介して流出していることが判明し、SNS等でも拡散行為が確認されているため、今後被害者の増加が考えられます。[3]

対策

こういったマルウェアが報告された場合、必要な対策は以下の通りです。

①ソフトウェアを最新の状態に保つ

WindowsOS, MacOSのUpdateで最新の状態に保つことができます。定期的にUpdateの情報が更新されていないか、設定を確認してください。

②不信なメール、サイトのURLを開かない

メールやWebサイトなどに添付されているファイル等は極力開かないように心がけるといいでしょう。URLやファイル名の拡張子（pdf、xlsmなど）等が改変されていないか確認するようにしましょう。

③ソフトウェアは信頼できるサイトからしかインストールしない

正規なサイトを装い、悪質なソフトウェアをダウンロードさせるケースがあります。自動ダウンロード機能などをオフにするなどの対策をしておくことも大切です。

④ウイルス対策ソフトを活用する。

ウイルス対策ソフトの活用は、本件で紹介したMacStealerの対策としても有効です。ウイルス対策ソフトは、24時間365日端末を操作していない間も脅威から保護してくれるため、ウイルスソフトの活用も検討してみてはいかがでしょうか。

①のように、技術的な対策だけでなく、②③のようにリテラシーを高めるなどの対策も必要になります。

まとめ

以上、MacStealerについて取り上げました。
今回報告されたMacStealerは、比較的に新しいmacOSがターゲットとなっていたように、世間から注目される新たなサービスはその注目度故にサイバー攻撃のターゲットになりやすい傾向があると感じます。さらにそれはOSだけに限らず、アップデートなども狙われやすいと考えます。 

社用PCとしてMacを利用する企業や学業で用いる学生ユーザーは増加しているため、ユーザーの増加に伴うリスクの増大も念頭に入れ、適切な対策を行っていくことが大切です。

プロフィール

寺井 蓮（てらい れん）

2024年にIDRに入社し、セキュリティコンサルタントとして、国際機関系のクライアント様に情報セキュリティポリシーの策定支援、官公庁にて情報セキュリティに関する支援など、様々な業界・セキュリティの分野を経験。

監修：吉田 卓史（よしだ たくし）

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

参考文献

[1]" マルウェアとは？ウイルスとの違いや侵入経路について." Norton 日本. (n.d.).
https://jp.norton.com/blog/malware/malware-virus-difference

[2]" マルウェアとは？感染経路・症状・感染させないための対策方法を解説"｜コラム｜クラウドソリューション｜サービス｜法人のお客さま｜NTT東日本. クラウドソリューション｜サービス｜法人のお客さま｜NTT東日本. (n.d.).

 https://business.ntt-east.co.jp/content/cloudsolution/column-308.html

[3]" Mac malware MacStealer spreads as fake P2E apps". Trend Micro. Subscribe. (2023, March 30).

Mac Malware MacStealer Spreads as Fake P2E Apps | Trend Micro (US)