Appleは長年にわたり、マルウェアの侵入を困難にする新たなセキュリティ機能を導入しmacOSを強化してきた。しかし、新たに発見された脆弱性により、悪意のあるアプリをダブルクリックするだけでmacOSの最新のセキュリティ保護のほとんどが突破されてしまう。これはAppleの監視下では許されるべきことではない。
さらに悪いことに、証拠によれば、悪名高い Mac マルウェア ファミリーが、今週 Apple 社によって修正される前の数か月間、この脆弱性を悪用していたことが判明している。
Macは長年にわたり、技術的な障壁を設けることで、最も一般的な種類のマルウェアを検知できるよう進化してきました。実際、macOSはインターネットからダウンロードされた文書を装った、悪意のある可能性のあるアプリを検知します。また、macOSがアプリを審査していない場合(Appleはこれを公証と呼んでいます)、あるいは開発者を認識していない場合、そのアプリはユーザーの介入なしには実行できません。
しかし、セキュリティ研究者のセドリック・オーエンズ氏は、3月中旬に発見したバグはこうしたチェックを回避し、悪意のあるアプリの実行を可能にするものだと述べた。
オーエンズ氏は、このバグを利用することで、無害な文書に見せかけた悪意のある可能性のあるアプリを作成し、それを開くとmacOSに組み込まれた防御を回避できるとTechCrunchに語った。
「ユーザーはダブルクリックするだけで済みます。macOSのプロンプトや警告は表示されません」と彼はTechCrunchに語った。オーウェンズ氏は、このバグを悪用して電卓アプリを起動する、無害な文書を装った概念実証アプリを作成した。これは、マルウェアを感染させることなくこのバグが機能することを実証する手段だった。しかし、悪意のある攻撃者はこの脆弱性を悪用し、偽装された文書を開かせるだけで、ユーザーの機密データにリモートアクセスできるようになると、オーウェンズ氏は説明した。
攻撃者がこの脆弱性を悪用する可能性を懸念して、オーウェンズ氏はこのバグをアップルに報告した。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
AppleはTechCrunchに対し、macOS 11.3でこのバグを修正したと発表しました。また、悪用を防ぐためにmacOSの以前のバージョンにもパッチを当て、macOS内蔵のマルウェア対策エンジンであるXProtectにアップデートルールをリリースし、マルウェアによる脆弱性の悪用をブロックしました。
オーウェンズ氏は、Macセキュリティ研究者のパトリック・ウォードル氏に、このバグの仕組みと理由を調査するよう依頼しました。ウォードル氏は本日公開した技術ブログ記事で、この脆弱性はmacOSの基盤となるコードのロジックバグによって発生すると説明しました。このバグにより、macOSは特定のアプリバンドルを誤分類し、セキュリティチェックを省略していたため、オーウェンズ氏の概念実証アプリは問題なく動作していました。
簡単に言えば、macOSアプリは単一のファイルではなく、アプリの動作に必要な様々なファイルのバンドルです。これには、アプリが依存するファイルの場所をアプリケーションに伝えるプロパティリストファイルも含まれます。しかし、Owens氏は、このプロパティファイルを削除し、特定の構造でバンドルを構築すると、macOSがバンドルを開き、警告を一切出さずにコードを実行してしまう可能性があることを発見しました。
ウォードル氏は、このバグによってmacOSのセキュリティ機能が「完全に無意味」になったと説明し、Appleのセキュリティアップデートでこのバグが修正されたことを確認した。「今回のアップデートにより、アプリケーションがバンドルとして正しく分類されるようになり、信頼されていない、認証されていないアプリケーションが(再び)ブロックされ、ユーザーが保護されるようになります」と、同氏はTechCrunchに語った。
バグの仕組みを熟知したウォードル氏は、Macセキュリティ企業Jamfに対し、オーウェンズ氏の発見以前にこのバグが悪用された証拠があるかどうかの調査を依頼した。Jamfの検出責任者であるジャロン・ブラッドリー氏は、このバグを悪用するShlayerマルウェアファミリーのサンプルが、オーウェンズ氏の発見の数ヶ月前の1月初旬に捕捉されていたことを確認した。Jamfは、このマルウェアに関する技術ブログ記事も公開している。
データ侵害への対応方法
「この手法を用いて発見したマルウェアは、2018年に初めて発見されたマルウェアファミリーであるShlayerのアップデート版です。ShlayerはmacOS上で最も多く存在するマルウェアの一つとして知られているため、私たちはその多くの亜種に対して様々な検出方法を開発し、その進化を綿密に追跡しています」とブラッドリー氏はTechCrunchに語った。「検出方法の一つが、この新しい亜種の存在を警告してくれました。詳しく調査したところ、このバイパスを利用してエンドユーザーにプロンプトを表示せずにインストールできることが分かりました。さらに分析を進めた結果、このマルウェアの開発者は2021年初頭にこのゼロデイ脆弱性を発見し、それを悪用するようにマルウェアを調整したと考えられます。」
Shlayer は、HTTPS 対応サイトを含む暗号化された Web トラフィックを傍受し、独自の広告を挿入して運営者に不正な広告収入をもたらすアドウェアです。
「多くの場合、ユーザーを騙して偽のアプリケーションインストーラーやアップデーターをダウンロードさせることでインストールされます」とブラッドリー氏は述べた。「この手法を用いるShlayerのバージョンは、内蔵のマルウェアスキャンを回避し、ユーザーに「よろしいですか?」という確認メッセージを表示せずに起動します」と彼は述べた。
「この亜種で最も興味深いのは、作成者が古いバージョンを少し改変し、macOSのセキュリティ機能を回避できるようにしたことだ」とブラッドリー氏は述べた。
Wardle 氏は、ユーザーが過去の不正利用を検出するのに役立つ Python スクリプトも公開しました。
ShlayerがmacOSの防御を回避したのは今回が初めてではない。昨年、ウォードル氏はセキュリティ研究者のピーター・ダンティーニ氏と共同で、Shlayerのサンプルが誤ってAppleによって認証されていたことを発見した。認証とは、開発者がアプリをAppleに提出し、セキュリティチェックを受けさせることで、数百万台ものMacでアプリが問題なく動作できるようにするプロセスである。
Appleは広く使用されているマルウェアをMacで実行することを誤って承認した
