「このテキストをコピーしてmacOSのターミナルに貼り付けるだけ」――それでパソコンが直る?本当に?

サイバー犯罪

新たに報告された情報窃取マルウェア「ClickLock」は、ちょっとしたソーシャルエンジニアリングによって、人を信じやすいMacユーザーを狙います

脅威インテリジェンス企業のGroup-IBは、ソフトウェアのバグを探すことを一切しない、これまで報告されていなかったmacOS向け情報窃取マルウェアの詳細を明らかにしました。このマルウェアは、ユーザーにコマンドをターミナルへ貼り付けるよう仕向け、自らハッキングされる状況を作らせます。その後、パスワードや暗号資産ウォレット、ブラウザデータなど、価値のあるものを何でも盗み出します。

研究者たちはこのマルウェアを「ClickLock Stealer」と名付けました。これは、近年広まりつつあるソーシャルエンジニアリング手法「ClickFix」を利用している点と、被害者にMacのログインパスワードを差し出すよう強要する「ロッカー」機能を備えている点にちなんだ命名です。研究者によると、この攻撃活動は2026年5月頃から確認されており、これまでに33カ国で少なくとも100人の被害者が確認されています。そのうち半数以上がヨーロッパに所在しています。

Group-IBがこのマルウェアを発見したのは、6月9日にVirusTotalへアップロードされた悪意あるシェルスクリプトを分析した結果でした。当時、このスクリプトはアンチウイルスソフトによる検出件数がゼロでした。攻撃者はClickFixを使った偽の認証ページを通じてマルウェアを配布し、侵害されたWordPressサイト上にペイロードをホストしているとみられます。また、コマンド&コントロールにはTelegramのインフラを利用しているようです。

研究者らは「現在のこのマルウェアは、実行を成功させるために権限昇格やエクスプロイトの利用さえ必要としません」と記しています。

その代わりに、被害者は自らの手で感染を引き起こすよう仕向けられます。提供されたコマンドをターミナルに貼り付けると、マルウェアはCloudflareの認証プロセスを装った画面を表示します。そこには偽の進捗アニメーションまで用意されており、その裏で追加のコンポーネントを静かにダウンロードしていきます。

Group-IBによると、ClickLockは8種類のブラウザ、31種類の暗号資産ウォレットのブラウザ拡張機能、7種類のパスワードマネージャー拡張機能、8種類のデスクトップ版ウォレットアプリケーション、macOSのキーチェーン、シェル履歴、FTP認証情報、さらに6種類の異なるブロックチェーンにまたがるアドレスからデータを狙います。加えて、このマルウェアはオープンソースツール「GSocket」の改造版を展開し、攻撃者にリモートアクセスの手段を提供します。

研究者たちは、コード構造やその他の痕跡から判断して、このマルウェアは依然として活発に開発が続けられているとみています。つまり、攻撃者は今後も機能拡張を続けていく可能性が高いということです。

最も悪質なのは、被害者が要求に従わなかった場合の挙動です。偽の認証プロセスの最中、ClickLockはユーザーにmacOSのパスワード入力を求めます。パスワードが入力されない場合、マルウェアは表示中のアプリケーションを次々と強制終了し、被害者が屈服するまでマシンを事実上使用不能にします。パスワードが入力されれば、窃取処理は静かに完了します。逆にマシンが再起動された場合も、永続化の仕組みによって攻撃が再開されるよう設計されています。

Group-IBは「初期アクセスから認証情報の完全な窃取、データ流出に至る一連の攻撃チェーン全体は、たった一つの信頼の瞬間――ユーザーがターミナルにコマンドを貼り付けるという行為――に依存しています」と記しています。

研究者らによれば、防御側は既知のマルウェアの特徴ではなく、不審な挙動そのものに注意を払う必要があるといいます。警戒すべき兆候としては、予期しないパスワード入力の要求、アプリケーションが繰り返し強制終了される現象、ブラウザデータや保存済み認証情報への不自然なアクセス、そして盗んだ情報をTelegramへ送信する通信などが挙げられます。

それ以外の一般ユーザーへのアドバイスは、はるかにシンプルです。Cloudflare、Google、あるいは他の何者かを名乗るウェブサイトが、ターミナルを開いてコマンドを貼り付けるよう求めてきたら、そのタブを閉じましょう。  ®


翻訳元: https://www.theregister.com/cyber-crime/2026/07/16/cmon-just-copy-this-text-string-and-paste-it-into-your-macos-terminal-itll-fix-your-computer-honest/5273701

ソース: theregister.com