数十年にわたり、MacユーザーはWindowsユーザーほどマルウェアを心配する必要がなかったが、ここ数年で状況は変わり始めている。アドウェアやランサムウェアといった増加する脅威に対抗するため、Appleは2月にすべてのmacOSアプリケーションの「認証」を開始した。これは、不正または悪意のあるアプリを排除するための審査プロセスである。Mac App Store以外で配布されるソフトウェアであっても、認証が必要となり、認証がなければユーザーは特別な回避策を講じない限り、それらのアプリを実行できなくなる。しかし、7か月後、研究者たちは、同じペイロードを使ってMacユーザーを攻撃するアクティブなアドウェアキャンペーンを発見した。そして、そのマルウェアはAppleによって完全に認証されていた。
このキャンペーンは、広く普及しているアドウェア「Shlayer」を配布しています。このマルウェアは、近年macOSデバイスの10台に1台が影響を受けたという報告もあります。このマルウェアは、検索結果に広告を挿入するなど、一般的なアドウェアの動作を示します。Shlayerが過去のバージョンと実質的に同一であるにもかかわらず、どのようにしてAppleの自動スキャンと認証チェックをすり抜けたのかは不明です。しかし、macOS向けに認証されたマルウェアの事例としては、これが初めてです。
大学生のピーター・ダンティーニさんは、人気のオープンソースMac開発ツールHomebrewのホームページにアクセスしていた際に、Shlayerの認証済みバージョンを発見しました。ダンティーニさんは誤って、正しいURLであるbrew.shとは少し異なる文字列を入力してしまいました。アクセスしたページは、偽のAdobe Flashアップデートページに何度もリダイレクトされました。どんなマルウェアが潜んでいるのか気になったダンティーニさんは、わざとそれをダウンロードしてみました。ところが驚いたことに、macOSはインターネットからダウンロードしたプログラムに関する標準的な警告を表示したものの、プログラムの実行はブロックしませんでした。ダンティーニさんはそれが認証済みであることを確認し、その情報をmacOSのセキュリティ研究者として長年活躍するパトリック・ウォードルさんに送りました。
「もし誰かが認証システムを悪用するなら、もっと高度で複雑なものになるだろうと予想していました」と、Mac管理会社Jamfの主任セキュリティ研究者であるウォードル氏は語る。「しかし、ある意味、最初にアドウェアが悪用したとしても驚きではありません。アドウェア開発者は非常に革新的で、常に進化を続けています。なぜなら、新しい防御策を回避できなければ莫大な損失を被ることになるからです。そして、認証は多くの標準的な広告キャンペーンにとって終焉の鐘を鳴らすものとなります。たとえユーザーが騙されてクリックし、ソフトウェアを実行しようとしたとしても、macOSがそれをブロックするからです。」
ウォードル氏は8月28日にAppleに不正ソフトウェアについて通知し、Appleは同日中にShlayerの認証証明書を失効させ、インストールされた場所と今後のダウンロードからマルウェアを無力化しました。しかし8月30日、ウォードル氏はアドウェアキャンペーンが依然として活動を続け、同じShlayerのダウンロードを配布していることに気付きました。Appleが元の証明書の失効作業を開始してからわずか数時間後、それらは別のApple Developer IDを使用して認証されただけでした。ウォードル氏は8月30日、これらの新しいバージョンについてAppleに通知しました。
「悪意のあるソフトウェアは常に変化しており、Appleの認証システムはMacからマルウェアを排除し、発見された際には迅速な対応を可能にしています」と同社は声明で述べています。「このアドウェアの存在を知り、特定された亜種を無効化し、開発者アカウントを無効化し、関連する証明書を無効化しました。ユーザーの安全を守るために協力してくれた研究者の方々に感謝します。」
Apple はまた、認証資料において、より徹底した iOS の「App Review」と macOS アプリケーションに対するこのチェックを区別しています。
「認証はアプリレビューではありません」と同社は述べている。「Appleの認証サービスは、ソフトウェアをスキャンして悪意のあるコンテンツがないか確認し、コード署名の問題をチェックし、結果を迅速に返す自動システムです。」
Appleが認証を導入する前は、マルウェア開発者はApple Developer IDに年間99ドルを支払うだけで、ソフトウェアを正規のものとして署名することができました。Mac App Storeからダウンロードされていないアプリケーションは、ユーザーが実行しようとすると、インターネットからダウンロードしたプログラムの安全性を確認するよう警告が表示されましたが、ユーザーは簡単にクリックして無視することができました。認証によってマルウェアの拡散がはるかに困難になります。少なくとも、それが狙いです。ウォードル氏によると、自身のセキュリティツールを審査に提出した経験から、Appleの最初の自動チェックは承認までわずか数分しかかからないとのことです。それでも、悪意のある人物が明らかにすり抜けているのです。
「悪意のあるアプリは認証プロセスをすり抜けるだろうと確信していたので、今回の結果には驚きません」と、セキュリティ企業MalwarebytesのMacおよびモバイルプラットフォーム担当ディレクター、トーマス・リード氏は語る。「実は、典型的な悪意のある動作をするアプリを開発し、認証を取得しようと考えていました。残念ながら、これで面倒な手間が省けました。これは、認証が効果的ではないという、私が待ち望んでいた証拠です。」
リード氏はまた、アドウェアなどのMacマルウェアが認証を回避するために進化し始めていることにも言及しています。その方法の一つは、Appleの署名も承認も全くないソフトウェアを配布し、Appleからの警告が表示されるとユーザーに伝えてインストールさせ、その後回避策を案内するというものです。
信頼に基づく他のシステムと同様に、公証はAppleのセキュリティを厳重に保つのに役立ちますが、万が一認証をすり抜けたアプリはAppleの承認を得ているため、あっという間に拡散する可能性があります。これは、AppleのiOS App StoreとGoogle Play Storeの両方で、審査済みのAndroidアプリに関して既に問題となっています。悪意のあるアプリが紛れ込み、何も知らないユーザーにダウンロードされてしまうことがよくあります。
マルウェア スキャナーは、認証された Shlayer インストールを悪意のあるものとして検出しますが、ウイルス対策ソフトウェアを実行していないユーザーにとっては不運なことになります。
「悪意のあるソフトウェアの検出は難しいので、誰でもミスを犯す可能性があります。セキュリティの観点から見ると、認証は依然として良いステップだと思います」とウォードル氏は言います。「しかし、一般ユーザーはAppleを信頼します。私もそうです!ですから、認証済みと記載されていれば、セキュリティ意識の高いユーザーでさえ、それが安全だと信じる可能性が高くなります。」
WIREDのその他の素晴らしい記事
- 📩 テクノロジー、科学、その他の最新情報を知りたいですか?ニュースレターにご登録ください!
- MAGA爆弾犯の激しい捜索
- 使わない、あるいは使いたくないスマホアプリを捨てる方法
- 彼女はニュース業界を崩壊させた。それを修復するための彼女の計画はこうだ
- このコバルトフリーの電池は地球に優しく、実際に機能します
- あなたのチャートは探偵小説ですか?それとも警察の報告書ですか?
- ✨ ロボット掃除機からお手頃価格のマットレス、スマートスピーカーまで、Gearチームのおすすめ商品であなたの家庭生活を最適化しましょう
