Apple(アップル)は何年もかけてmacOSのセキュリティ機能を強化し、マルウェアの侵入を困難にしてきた。しかし、新たに発見された脆弱性は、macOSの最新セキュリティ保護のほとんどを、悪意あるアプリをダブルクリックするだけで通過させてしまう。Appleの監視の下であってはならない事態だ。
さらに悪いことに、悪名高きMacマルウェアの一族が、この脆弱性を今週Appleが修正する何カ月も前から利用していたことを示す証拠が見つかった。
ここ数年、Macはほとんどのタイプのマルウェアを技術的障壁を設けることで防いできた。実際、macOSは、インターネットからダウンロードされたドキュメントになりすました悪意あるアプリに警告フラグをつけている。また、Appleが「notarization(公証)」と呼ぶプロセスによって、Appleがレビューしていないアプリや、デベロッパーを確認できなかったアプリは、ユーザーが確認しない限りmacOSでは実行されない。
しかし、セキュリティ研究者のCedric Owens(セドリック・オーエンス)氏は、一連のチェックを逃れて悪意あるアプリが実行できるようになるバグを2021年3月に発見したと語った。
オーエンス氏はTechCrunchに、そのバグによって彼は、一見無害なドキュメントに見えるが開くとmacOSに組み込まれた防御をすり抜ける悪意あるアプリを作ることができたと語った。
「ユーザーに必要なのはダブルクリックすることだけで、macOSからはプロンプトも警告も出きません」と彼はTechCrunchに話した。オーエンス氏は、無害なドキュメントがバクを利用して計算機アプリを立ち上げる概念実証アプリを作った。実際にマルウェアを仕込むことなくバグの仕組みをデモする方法だ。しかし悪意あるアタッカーはこの脆弱性を利用して、なりすましドキュメントを標的に開かせるだけで、遠隔からユーザーの機密情報をアクセスできると彼は説明した。
無害なドキュメントになりすまして、修正前のmacOS機で実行する概念実証アプリ。作者より提供
この脆弱性をアタッカーが悪用することを恐れたオーエンス氏は、Appleにバグを報告した。
AppleはTechCrunchに、バグはmacOS 11.3で修正したと伝えた。さらにAppleは、旧バージョンのmacOSの悪用も防ぐためにパッチを施し、更新されたルールをmacOSの内蔵アンチマルウェアエンジンであるXProtectにプッシュ配信してマルウェアが脆弱性を利用するのを防いだ。
オーエンス氏はMacセキュリティ研究者のPatrick Wardle(パトリック・ウォードル)氏に、このバグがどうやって、なぜ動くのかを調査するよう依頼した。米国時間4月26日の技術的ブログ記事でウォードル氏は、脆弱性がmacOSに内在するコードのロジックバグのために発生することを説明した。つまりmacOSが一部のアプリの分類を誤り、セキュリティ・チェックをスキップしたため、オーエンス氏の概念実証アプリが妨害されずに実行できた。
わかりやすくいうと、macOSアプリは単一のファイルではなくアプリの動作に必要な複数のファイルの集合体で構成されており、アプリケーションが依存しているファイルの場所を教えてくれるプロパティリストファイルもその1つだ。しかしオーエンス氏はこのプロパティリストファイルを取り出して特定の構造の集合体を作ることによって、macOSを騙して中にあるコードを警告を出さずに実行させる方法を見つけた。
ウォードル氏は、そのバグはmacOSのセキュリティ機能を「まったく無意味」にすると評した。Appleのセキュリティアップデートがこのバグを修正したことを同氏は確認した。「アップデートされた結果アプリケーションは正しく分類されるようになり、信頼されていない公証されていないアプリケーショっは(再び)ブロックされ、ユーザーは保護されます」と同氏がTechCrunchに話した。
バグの仕組みを知ったウォードル氏は、Macセキュリティ会社のJamfに、オーエンス氏の発見以前に悪用された証拠がないか尋ねた。Jamfの発見ツール責任者、Jaron Bradley(ジェロン・ブラッドリー)氏は、Shlayerマルウェアファミリーのがバグを利用している例を2021年1月に、オーエンス氏の発見より数カ月早く見つけられていたことを確認した。Jamfはこのマルウェアに関する技術的ブログ記事も公開している。
「このテクニックを使う私たちの見つけたマルウェアは、Shlayerという2018年に最初に発見されたマルウェアファミリーのアップデート版です。ShlayerはmacOSでもっともよく見られるマルウェアの1つであり、そのため私たちはその数多くの変種を発見する方法を開発して進化の過程を綿密に監視しました」とブラッドリー氏がTechCrunchに話した。「発見ツールの1つがこの新たな変種を見つけ、詳しく調べたところ、それがこの変種が抜け穴を使ってインストールされ、ユーザープロンプトも表示されないことを発見しました。さらに分析した結果、マルウェアの開発者はゼロデー脆弱性を見つけ、それを利用するように自分たちのマルウェアを調整したものと考えます」。
Shlayerは、暗号化されたウェブトラフィック(HTTPS利用サイトを含む)を横取りして独自の広告を埋め込み、運用者に詐欺広告マネーをもたらすアドウェアだ。
「多くの場合、ユーザーに偽のインストーラーやアップデートをダウンロードさせることでインストールされます」とブラッドリー氏はいう。「この技法を用いるバージョンのShlayerはそうやってOSのマルウェア検査をかいくぐり『本当にいいですか?』のプロンプトをユーザーに表示することなく実行されます」と彼は言った。
「この変種で最も興味深いのは、作者は旧バージョンをわずかに修正してmacOSのセキュリティ機能を回避することです」と言った氏はいう。
ウォードル氏は、ユーザーが過去に悪用されたかどうかを検出するためのPythonスクリプトも公開している。
ShlayerがmacOSの防御をすり抜けたのはこれが初めてではない。2020年、ウォードル氏はセキュリティ研究者のPeter Dantini氏と協力して、Appleが “notarization”プロセスで誤って承認したShlayerのサンプルを見つけた。デベロッパーがアプリをAppleに送り、セキュリティチェックを受けて、何千万台ものMacの上で邪魔されずの動作できるようにするためのプロセスだ。
【Japan編集部】本稿で触れているmacOSのバグは、現在配布済みのmacOS 11.3にアップデートすることで修正される。
関連記事:アップルが悪名高いMac用マルウェアを誤って承認してしまう
カテゴリー:セキュリティ
タグ:Apple、macOS、マルウェア、バグ
画像クレジット:Jack Carter / Unsplash
[原文へ]
(文:Zack Whittaker、翻訳:Nob Takahashi / facebook )
