新しいセキュリティツールが増大するmacOS脅威を標的に

出典: Ted Hsu / Alamy Stock Photo

かつてはセキュリティ脅威に対して比較的免疫があると考えられていたmacOSですが、過去10年ほどで攻撃者の主要な標的となっています。それでもなお、セキュリティ研究者による研究は十分とは言えず、防御側も自分たちが直面している脅威の重要性や影響、さらにはそれが何であるかすら認識していないことが多いのです。

数年前、2人の研究者がこの状況を変えるために協力しました。独立研究者のObinna Igbe氏と、AirbnbのセキュリティエンジニアであるGodwin Attigah氏は、現在活動中のmacOSマルウェアをカタログ化し、これらの脅威を特定し防御するためのツールを開発するために協力しています。

来月開催されるBlack Hat Europe 2025で、2人はこれまでで最大規模のmacOSマルウェア公開データセット「Malet」と、汎用ハードウェア上で1分間に数千のバイナリを処理できる新しいオープンソースの高性能静的解析ツール「Katalina」を発表します。これらの成果やその他の発見は、「macOSの沈黙：7万のバイナリが明かすmacOSマルウェアエコシステム」というセッションで紹介されます。

「macOSマルウェアの問題は、世間で言われているよりもはるかに大きい」とAttigah氏は最近のDark Readingのインタビューで説明します。彼は約5年前、Googleでインサイダー脅威に取り組んでいた際にIgbe氏と出会い、業界のmacOSマルウェアに対する見方を変えるだけでなく、それを特定し戦うために協力することを決めたといいます。

「この［研究］の主な成果は、macOSがマルウェアフリーではないことを明らかにすることです」とIgbe氏は付け加えます。「それは今やコミュニティにとって明白であるべきだと思います。」

さらに、研究者が特定したmacOSマルウェアの多くは署名されておらず、公式App Store以外のmacOSバイナリは署名されていなければならないという長年の前提に疑問を投げかけています。これは、組織だけでなくAppleにとっても課題であり、Appleはこの現象がどのように起きているのかをより深く調査すべきだと彼らは考えています。

研究者たちは「非公式なルート」を通じてAppleに自分たちの研究について連絡しており、Black Hatで発表する論文が完成した後、正式にコメントを求める予定です（おそらく11月21日）。AppleはDark Readingからのコメント要請にはすぐに応じませんでした。

MacOS防御者のためのツール

Maletには48,400の悪意あるMach-Oバイナリと22,907の良性Mach-Oバイナリが含まれており、macOS特有のマルウェアの特徴が記述されています。これらの特徴には、セキュリティ権限の悪用、スクリプトインターフェースの乱用、コード署名の異常などが含まれます。

Maletの開発を通じて、研究者たちは悪意あるサンプルのうち96.1％、つまり46,540件が署名されていないことを発見しました。この発見は、Appleが調査すべきコード署名モデルの重大な運用上の隙間を明らかにしています。

「Appleを責めるつもりはありませんが、脅威アクターが証明書を盗んだり、何らかの方法で署名したりしているようです」とIgbe氏は述べています。

Maletの補完として、研究者たちはGolangベースのオープンソース静的解析ツール「Katalina」もリリースします。これは、構造的特徴や潜在的なマルウェア挙動の静的指標を大規模に抽出します。これらの指標には、権限、署名メタデータ、埋め込みスクリプト、リンクされたライブラリなどが含まれます。

「［Katalinaの］主な目的は、マルウェアサンプルを特徴付けるコアな特徴を特定することです」とIgbe氏は説明します。重要なのは、このツールがプラットフォーム非依存で構築されているため、ユーザーがmacOSプラットフォーム上でサンプルを分析する必要がないことです。

「MALETとKatalinaを組み合わせることで、体系的なmacOSマルウェア解析の再現可能な基盤を提供します」と論文には記されています。

北朝鮮の脅威アクターに関連するmacOSマルウェア

MALETとKatalinaの研究開発の過程で、Attigah氏とIgbe氏は現在のmacOSマルウェアの状況について、防御側にも有用となるいくつかの傾向を明らかにしました。

1つは、北朝鮮国家支援のアクターがmacOSプラットフォームを標的にしていることの多さです。実際、発見された署名付きmacOSバイナリの中には、朝鮮民主主義人民共和国（DPRK）に関連する高度持続的脅威（APT）グループに紐づく失効済み証明書を持つものが複数ありました。さらに、そのうちの1つはAppleが失効させるまで760日間オンラインのままでした。

「DPRKはmacOSマルウェアの分野で地位を確立しています」とAttigah氏は言います。「彼らは他社を模倣したり、共同署名証明書を使ったりすることに多大な労力を注いでいるだけでなく、macOSマルウェアの構築にも力を入れています」とも述べています。

研究者が特定したもう1つの傾向は、認証情報窃取型マルウェアの増加であり、特にエンタープライズ全体で主要な脅威として浮上しています。

さらに、アンチウイルスやエンドポイント検出・対応（EDR）セキュリティ技術は「それらを早期に発見しブロックするのに十分な効果を発揮していない」ため、感染が検知を回避する可能性が高いとAttigah氏は述べています。こうしたことからも、MaletやKatalinaのようなツールを防御側と共有する必要性が一層強調されます。