出典:AfricaStudio(Alamy Stock Photo経由)
マイクロソフトのオペレーティングシステムは、Windowsを使用している組織数と、それを標的とする攻撃数の両方で市場を支配し続けています。AppleのmacOSの利用は組織内で着実に増加しており、最近のApple macOSを標的とした脅威の多発は、Appleデバイスへの攻撃も増加していることを示しています。
macOSは「Windowsに比べて小さな標的である」「Macにはウイルスが感染しない」といった見方が、企業の防御を妨げ続けています。「ここ数年で、macOSが脅威アクターのより大きな標的となっているのを目にしてきました。特に高度な国家支援型攻撃者に関しては顕著です」とHuntressは最近のブログ記事で述べています。このブログでは、脅威アクターが朝鮮民主主義人民共和国(DPRK)と関連付けられたBlueNoroffによる標的型攻撃について説明しており、悪意のあるZoom拡張機能やディープフェイクを使って被害組織を侵害したとしています。
最近のmacOSを標的としたインシデントの多くが、さまざまな形態のソーシャルエンジニアリングを用いていることを踏まえ、専門家は、組織がセキュリティ意識向上トレーニングを強化し、潜在的な被害者が警告サインをより早く認識できるようにすること、そしてこうした攻撃の成功を防ぐために、より強力な技術的コントロールを導入する必要があると指摘しています。
突然の変化には警戒を
Huntressのパートナー企業が被害に遭ったBlueNoroffのケースでは、「予期せぬこと」がテーマでした。被害者はもともとCalendlyのリンクを使ってバーチャル会議を設定していましたが、会議が直前になってGoogle MeetからZoomに変更されたことで不意を突かれたと、HuntressのmacOSセキュリティ研究者Stuart Ashenbrenner氏は説明します。会議プラットフォームが突然変更されることは、ユーザーにとって警戒すべきサインだと彼は警告しています。
「攻撃者は、ユーザーを不安にさせることで、このような事故を誘発するのが大好きです」とAshenbrenner氏は言います。「会議プラットフォームを変更しただけでなく、Zoomを動作させるためにこの『拡張機能』をダウンロードするようユーザーに指示し、会議を続けられるようにしました。このような不安を利用し、ユーザーを急がせることで、こうした事故がよく発生します。」
ユーザーのマイクやカメラが動作しないといった問題をでっち上げるのは、ディープフェイクを使う攻撃者によくある手口だと、Malwarebytesのマルウェアアナリスト兼シニアインテリジェンスレポーターのPieter Arntz氏も同意します。こうした問題の後には、Zoom拡張機能やサポートツールのダウンロードを要求されるのが常です。Ashenbrenner氏と同様に、Arntz氏もバーチャル会議前の突然のプラットフォーム変更には警戒するようユーザーに呼びかけています。
「基本的な防御策に耐性」
一方、SentinelOneはDPRKに起因するとされる攻撃についても説明しており、そこでは「基本的な防御策に耐性のある」悪意のあるコードが使われていました。このようなケースでは、効果的な防御には単なるプロセスの強制終了や静的検出を超えた対策が必要だと、SentinelOneの著名な脅威研究者でリサーチリードのTom Hegel氏は述べています。Hegel氏は、アプリケーションコードの静的スキャンだけでは不十分な場合があると指摘します。
「macOSデバイスには、永続化の挙動やスクリプトの悪用、不審な子プロセスをリアルタイムで検知できる、振る舞いベースのエンドポイント保護を導入することを推奨します」とHegel氏は言います。「アプリケーション制御ポリシーの徹底も重要です。特に開発者や暗号資産関連の業務が行われている環境では、macOSエンドポイントを第一級の攻撃対象として扱うべきです。」
ディープフェイク、マルウェア、情報窃取ツールの脅威
複数の手口が使われることで、こうした攻撃への防御が困難になっていると、Trend Microの脅威インテリジェンス担当VPのJon Clay氏は警告します。例えば、BlueNoroffはHuntressのパートナー企業に対し、ディープフェイク、バックドア型マルウェア、情報窃取ツールを用いました。
「説得力のあるソーシャルエンジニアリングも、従業員を騙して攻撃の成功に寄与させました」とClay氏は言います。「組織は、従業員向けのセキュリティ意識向上プログラムをアップグレードし、これら新しい攻撃やディープフェイクの手口について教育する必要があります。」
同様に、BlueNoroffは既存の業務プロセスを悪用し、正当なものに見せかける手法を用いました。Trend Microのシニア脅威研究者Stephen Hilt氏は、これを「ビジネスプロセスの侵害」と呼んでいます。この手法は「AIによって今後さらに攻撃者が多用できるようになる」とHilt氏は警告します。「この種の攻撃への認識を高めることが、組織が積極的なセキュリティ対策として最も効果的にできることです。」
ディープフェイクには新たな検証プロセスが必要
Malwarebytesのサイバーエバンジェリスト、Mark Stockley氏にとって、BlueNoroffの攻撃は2024年に英国のエンジニアリング企業Arupを標的とした攻撃を思い起こさせます。この事件では、事務員がディープフェイクの幹部が多数参加するZoom会議に出席した後、2,500万ドルを送金するよう騙されました。これら両方の攻撃は、サイバー犯罪者が人工知能(AI)をいかに効果的に活用できるかを示しています。
「長年、怪しいメッセージを受け取った場合は、別の通信手段で送信者を確認するようアドバイスされてきました」とStockley氏は述べ、リモートワーカーや分散チームにとってはビデオ会議が標準であることを指摘します。「最近のHuntressのケースやArupの攻撃では、従業員はビデオに複数の上級幹部がいることで安心したでしょうが、実際にはどちらも会議に出席していたのは本人だけでした。」
企業は追加の検証手段を検討する必要があります。特に大きな金銭取引のリクエストがあった場合はなおさらです。Stockley氏は、事前に合意した合言葉や秘密の情報を使ってビデオ会議を検証する方法や、時間ベースの二要素認証コードを照合する方法を提案しています。「今見ているディープフェイクは、今後対処しなければならない中で最も質が低く、コストのかかるものです」と彼は言います。
専門家によれば、AIを使った攻撃は今後さらに頻繁になるでしょう。特に生成AIツールの進化が続く中、ユーザー、特にmacOSユーザーが防御について考えることが不可欠です。推奨される対策としては、セキュリティ意識向上トレーニングの強化や、他のチャネルでリクエストを二重確認するなど、業務プロセスの見直しが挙げられます。
SentinelOneのHegel氏は、より広範な傾向について警鐘を鳴らしています。DPRK系の攻撃者が、macOS環境により溶け込むためにツールを進化させ、新しいローダーを活用し、Web3や暗号資産といった高価値セクターを標的にしているというのです。「機密性の高い業務でmacOSの採用が進むにつれ、攻撃者も明らかに適応してきており、防御側はこれが今後起こることの一例に過ぎないと考えるべきです」とHegel氏は述べています。