xiaolong 
マルウェア対策ソフト「ウイルスバスター」とマルウェアの研究で有名なTrend Micro(トレンドマイクロ)に所属するセキュリティ研究者が、Xcodeを介して感染する新しく深刻なMacのマルウェアについて先週報告していましたが、その研究者のうちOleksandr Shatkivskyi氏とVlad Felenuik氏(どちらも難読。。)がメディアMacRumorsによる独占インタビューに答えています。
そのインタビューによれば、このマルウェアはXCSSETファミリーの一部で、Xcodeを介してプロジェクトに挿入される「異常な感染」をするようです。そしてプロジェクトがビルドされ、アプリが作成されるとコードが実行され、そこには悪意のあるトロイの木馬などに繋がる可能性があり、Macユーザに重大なリスクをもたらすというのです。
具体的には、このマルウェアでは脆弱性を利用し、Safariやその他のブラウザを悪用してデータを盗むことが可能なことが判明しました。Cookieの読み取りとダンプ、JavaScriptでのバックドアの作成、表示されたWebサイトの変更、プライベートバンキング情報とパスワードの盗用、パスワード変更のブロックを行うことができます。他にも、Evernote、Notes、Skype、Telegram、QQ、WeChatなどのアプリから情報を盗み取り、スクリーンショットを撮り、攻撃者の指定したサーバーにファイルをアップロードし、ファイルを暗号化し、身代金要求メッセージを表示したりすることもできることも判明しました。
研究者2人は、このXCSSETのマルウェアが、今後このマルウェアが悪意のある人達にとって非常に一般化するだろうと予測しています。また、これはデベロッパによるハッシュチェックなどの検証方法では感染を発見できないため非常に危険だということです。更に、このマルウェアはGitHubで共有されているプロジェクトの中に存在していることがわかりました。これはこのGitHubリポジトリに依存している開発者がまずは攻撃を受け、そしてプロジェクトが感染していることに気付かずにアプリケーションを作成し配布してしまう可能性が高いことを意味しています。
更にこの研究者2人は、Mac App Storeのアプリ審査を担当するAppleのレビューチームが、XCSSETマルウェアを内包したアプリを審査しても、マルウェアを殆ど検出できないことを指摘しています。実際、iOSのApp Storeを含めApp Storeには表面的には普通のアプリでも、何かをすると別の動作をするいわゆる「隠し機能つきアプリ」が横行していて、それらは審査を通過していることが証明されているのです。
2人は昨年12月に既にこの問題についてAppleに最初に報告して、迅速な対応を求めています。次世代iOS 14やiPadOS 14にあるようなプライバシー通知をMacにも搭載して、マルウェアがそれらのプライバシー情報を外部に出そうとしたときにMacがユーザに警告できるようになることを彼らはAppleに提案したそうです。
ちなみに今後リリースされるAppleシリコンのMacについてもこのマルウェアの影響を受けるかについては、2人はAppleシリコン対応のMac Developer Transition Kitにアクセスできていないので詳細は不明としながらも、AppleシリコンMacでも「このマルウェアが動作することは間違いない」としています。
ただ、macOSは現在世界で利用可能なOSの中でも最も安全なプラットフォームであることは研究者2人も認めています。今度、Macにプライバシー情報を外に出すことについて許可するかどうかの警告を出す機能を追加することで、このようなマルウェアの感染は防げなくても、作動を防ぐことはできます。
とりあえずユーザができる対策は、
- どんなアプリにも画面の記録を許可しない
- Mac App Store以外で入手したアプリをできるだけ使用しない
ということで、これだけをやるだけでもそれなりに安心を保てる可能性があります。ただ、2.についてはアプリがMac App Storeの審査を通過してしまうと、その限りではないですが。。
(記事情報元:MacRumors)