AppleのmacOSには、悪意あるアプリの実行を防ぐため「Gatekeeper」という強力な仕組みが搭載されています。しかし今回、Appleの"notarization(公証)"を逆手に取ってGatekeeperを突破する新しい攻撃手法が確認されました(AppleInsider)。
Jamf Threat Labsが報告したのは、情報窃取系マルウェア「MacSync Stealer」の新バージョンです。これまでの亜種とは異なり、コード署名済みかつAppleの公証を通過したSwiftアプリとして配布されている点が最大の特徴です
なぜGatekeeperを突破できたのか?
Jamfによると、攻撃者は「zk-Call & Messenger」という偽アプリのインストーラーを装い、ユーザーにダウンロードを促します。通常、未署名アプリはGatekeeperが警告しますが、今回は署名済み+公証済みのため、ユーザーはダブルクリックで実行可能となっています。
インストーラーのファイルサイズは25MB超と大きいものの、実態はPDFが含まれる"かさ増し"ファイルとなっています。マルウェア本体は含まれず、実行後に外部サーバーから二次ペイロードを取得するため、公証プロセスでは悪意あるコードが検出されにくい構造となっています。
過去にもAppleの公証をすり抜けたマルウェアが存在したものの、今回は「公証済みアプリが後からマルウェアを呼び出す」点が新しいと指摘されています。
Macユーザーが取るべき対策は?
Jamfは問題のDeveloper Team IDをAppleへ報告し、証明書はすでに失効済みです。ただし、コードディレクトリハッシュはまだ完全にはブロックされていないとのこと。
一般ユーザーができる対策は以下の通りです:
- アプリは信頼できる公式サイトかMac App Storeからのみ入手する
- 不審なインストーラーを安易に開かない
- ファイルサイズや挙動に違和感があれば即削除
- セキュリティツールを併用して検知力を補強
今回の事例は、Appleの公証システムが万能ではないことを示しています。攻撃者はユーザーの安心感を逆手に取り、正規に見えるアプリを入口にしてマルウェアを展開する方向へと進化しています。
macOSは比較的安全とされがちですが、「署名済みだから安全」という思い込みは危険かもしれません。今後も同様の手法が増える可能性があるため、ユーザー側の警戒心がますます重要になりそうです。
