AppleはmacOS Tahoe 26.4で重要なセキュリティ機能を静かにロールアウトしました。この機能はターミナルアプリケーション内で悪意あるコマンドが実行される前にそれらをブロックし、増大するClickFixソーシャルエンジニアリング攻撃の脅威に直接対処しています。
ClickFixは2024年に初めて確認された洗練されたソーシャルエンジニアリング技術であり、ユーザーを騙して悪意あるコマンドをターミナルに手動で貼り付けさせます。
脅威アクターは偽のCAPTCHAテスト、偽造されたエラーメッセージ、または詐欺的なソフトウェアインストーラを使用してユーザーを誘い、テキスト文字列をコピーしてmacOSターミナルに直接貼り付けるよう指示します。
ユーザーが手動でアクションを開始するため、オペレーティングシステムはコマンドを認可済みのものとして扱い、標準的なセキュリティフィルターを完全にバイパスします。
ClickFixは2025年のマルウェアローダー活動の半分以上を占めたと報告されています。
ユーザーがSafariから潜在的に危険なコマンドをコピーし、ターミナルに貼り付けようとすると、macOS Tahoe 26.4は実行を遅延させ、目立つ警告ダイアログを表示します。
警告メッセージは次のとおりです:「マルウェアの可能性があります。貼り付けがブロックされました。お使いのMacは損傷を受けていません。詐欺師はしばしばテキストをターミナルに貼り付けることを促し、あなたのMacに害を与えたりプライバシーを侵害したりしようとします。
これらの指示は通常、ウェブサイト、チャットエージェント、アプリ、ファイル、または電話通話を通じて提供されます。
ユーザーにはアクションを中止するメインの「貼り付けない」ボタンと、正当な管理タスク用の「とにかく貼り付け」オプションが表示されます。
この保護はペーストジャッキングの中核メカニズムを標的としています:攻撃者が依存するほぼ即座のペーストと実行のシーケンスです。特に末尾に改行のあるコマンドはReturnキーを押さなくても即座に実行されます。
貼り付けの時点で必須の確認ステップを挿入することで、Appleはこの攻撃チェーンを害が発生する前に中断します。
注目すべきことに、Appleはこのターミナルセーフガードを公式のmacOS Tahoe 26.4リリースノートでは言及していません。リリースノートは開発者ツールの更新とSwiftUIの修正に焦点を当てています。
この機能はリリース候補ビルドが利用可能になった後、セキュリティ研究コミュニティによって独立して発見されました。
この確認ステップを追加することで、Appleは技術的知識の少ないユーザーが誤ってシステムを侵害することを防ぐことを目指しており、同時に上級ユーザーが「とにかく貼り付け」オプションを通じて正当なコマンドを実行できるようにしています。
翻訳元: https://cyberpress.org/apples-macos-tahoe-introduces/