サイバーセキュリティの状況は、憂慮すべき転換点に達している。2025年12月5日、Huntressは、Atomic macOS Stealer(AMOS)を高度な手口で配布するキャンペーンを確認したが、その侵入経路は一見すると非常に単純なものだった。
SEO操作によって検索結果の上位に表示されるよう細工された、OpenAIのChatGPTおよびxAIのGrokプラットフォーム上のAI会話が、信頼できるトラブルシューティングガイドとしてユーザーに提示されていたのである。
このキャンペーンが特に危険なのは、悪意あるダウンロードも、インストーラ型トロイの木馬も、従来型のセキュリティ警告も一切必要としない点にある。必要なのは検索クエリとクリック、そしてコマンドのコピペだけだ。
この感染経路は、検索エンジンの信頼性、プラットフォームの正当性、そしてAI生成コンテンツの権威性という3つの信頼メカニズムの収束を悪用している。
ユーザーが「macOSでディスク容量を空ける方法」などの一般的なmacOSメンテナンスに関するクエリを検索すると、検索結果の上位に表示されるリンクが、正規ドメイン上にホストされたChatGPTおよびGrokの会話へと誘導する。
これらの会話は、プロフェッショナルな体裁、番号付きの手順、システムの安全性を強調する安心感のある文言を備えた、分かりやすいトラブルシューティングガイドとして提示される。
被害者は提示されたターミナルコマンドを実行し、それが多段階の感染チェーンを引き起こしていることに気づかないまま、資格情報の窃取、権限昇格、永続的なデータ流出の仕組みを静かに動作させてしまう。
これはソーシャルエンジニアリングの手口が本質的に進化したことを示している。攻撃者はもはや信頼できるプラットフォームを「装う」必要はなく、検索結果の汚染を通じて、それらを積極的に「武器化」しているのだ。
マルウェアは、もはやクリーンなソフトウェアを装う必要はない。「ヘルプ」そのものを装えばよいのである。
調査の過程で、Huntressは「iMacのデータを消去する方法」「iMacのシステムデータを削除」「Macのストレージを空ける方法」など、複数のバリエーションのクエリに対して同様に汚染された結果を再現し、これは単発の事案ではなく、一般的なトラブルシューティング検索を狙った意図的かつ広範なキャンペーンであることを確認した。
ChatGPTとGrokの両方で、ほぼ同様のキャンペーンが確認されたことは、単一の脅威アクターによる体系的なプラットフォーム悪用を示唆している。
AMOSの展開に用いられている技術的な高度さが、この脅威をさらに深刻なものにしている。最初のコマンドはbashスクリプトを取得し、「検証」を装ってユーザーのシステムパスワードを要求する。
正規のmacOS認証ダイアログを表示する代わりに、このスクリプトはdscl-authonlyコマンドを用いて資格情報を静かに検証する。これは、システムのUIプロンプトやTouch IDのフォールバックを一切伴わず、完全にバックグラウンドでパスワードの正当性を確認する。
資格情報が検証されると、パスワードは平文のまま保存され、直ちにsudo -Sを通じて悪用される。これにより、追加のユーザー操作なしで完全な管理者権限が取得される。
第2段階では、ユーザーのホームディレクトリ内の隠しディレクトリ(.helper)にコアとなるStealerペイロードをダウンロード・インストールする。
その後マルウェアは、Ledger WalletやTrezor Suiteなどの正規の暗号通貨ウォレットアプリケーションを探索し、それらをトロイの木馬化したバージョンに置き換える。この偽アプリは、セキュリティ上の理由を装ってシードフレーズの再入力をユーザーに求める。
新たに台頭するAI駆動型の脅威ベクター
同時に、このStealerは暗号通貨ウォレット、ブラウザの資格情報データベース、macOSユーザーのキーチェーンエントリ、ファイルシステム全体にわたる機密ファイルなどを標的とする、包括的なデータ収集機能を維持し続ける。
永続化の仕組みも極めて悪質だ。LaunchDaemonのplistが隠しAppleScriptのウォッチドッグループを実行し、常時稼働させる。このループは毎秒、どのユーザーがアクティブなGUIセッションを保持しているかを確認する。
メインの.helperバイナリがキルされたりクラッシュしたりすると、ウォッチドッグは1秒以内に自動的にそれを再起動する。
これにより、再起動や手動でのプロセス終了を経ても継続的な実行が保証され、従来のバックグラウンドデーモンではアクセスできない、セッション固有の資格情報ストアや認証済みアプリケーションデータへのアクセスが維持される。
防御側にとって、このキャンペーンは極めて困難な検知課題を突きつける。従来のシグネチャベースの手法は通用しない。なぜなら、初期の感染ベクターである「ユーザーが実行するターミナルコマンド」は、正当な管理タスクと見た目がまったく同じだからだ。
組織は、osascriptによる資格情報要求、不自然なdscl-authonlyの使用、ホームディレクトリ内の隠し実行ファイル、パスワードをパイプしてsudoを実行するプロセスなど、振る舞いの異常に注目して監視する必要がある。
エンドユーザーも同様に厳しい状況に置かれている。この攻撃は本能や懐疑心と戦うのではなく、既存の「信頼」をそのまま利用する。ChatGPTからターミナルコマンドをコピーする行為は、生産的で安全に感じられ、実際の問題に対するシンプルな解決策のように見える。
AIアシスタントが日々のワークフローやOSにますます深く組み込まれていくにつれ、この配布手法は必然的に拡大していくだろう。あまりに効果的で、あまりにスケーラブルであり、従来のコントロールだけでは防御が困難すぎるからだ。
このキャンペーンは、macOSセキュリティにおける分水嶺となる出来事である。真のブレイクスルーはAMOS自体の技術的高度さではなく、セキュリティコントロールを回避しつつ、人間の脅威モデルも同時に迂回する配布チャネルが発見された点にある。
組織は、「プラットフォームへの信頼」が自動的に「ユーザー生成コンテンツへの信頼」に転化するわけではないことを認識しなければならない。
最も危険なエクスプロイトは、もはやコードそのものを狙うのではなく、人間の行動とAIとの関係性を標的にしている。2025年以降、この違いを理解しているかどうかが、防御が成功するか失敗するかを分けることになる。
翻訳元: https://gbhackers.com/amos-stealer/
