2025年、macOSユーザーを狙う情報窃取マルウェア「MacSync Stealer」が、その配信方法とインストールプロセスを劇的に進化させ、セキュリティ専門家の間で大きな警鐘を鳴らしています。Jamf Threat LabsとHive Proの分析により明らかになったこの最新の亜種は、従来のMacSync Stealerがユーザーの操作を必要としていたのとは異なり、Appleの正規のコード署名と公証プロセスを悪用することで、より静かで自動化された侵入経路を確立しました。これは、攻撃者がプラットフォームのセキュリティ機構を「破壊する」のではなく、「悪用する」という、macOS脅威ランドスケープにおける顕著な変化を示唆しています。
このマルウェアの進化は、単なる技術的な変更に留まらず、ユーザーが信頼するはずのセキュリティ基盤そのものを揺るがすものです。有効なデジタル署名とAppleの公証を通過しているため、macOSのGatekeeperは警告を発することなく、悪意のあるペイロードの展開を許してしまいます。これにより、ユーザーは自身が正規のアプリケーションをインストールしていると誤認し、知らず知らずのうちに機密情報が窃取されるリスクに晒されることになります。セキュリティ企業は、この新たな脅威が、macOSユーザーに対する情報窃取攻撃の新たな標準となる可能性を指摘し、警戒を強めています。
巧妙な侵入経路:正規アプリを装う欺瞞
最新のMacSync Stealerは、一見すると無害なメッセージングアプリのインストーラーを装ったディスクイメージ(DMGファイル)として配布されます。このDMGファイルは、`zk-call-messenger-installer-3.9.2-lts.dmg`などのファイル名で、悪意のあるドメイン`zkcall[.]net`を通じて拡散されていることが確認されています。驚くべきことに、このインストーラーはAppleによってコード署名され、公証されているため、macOSのセキュリティ機能であるGatekeeperを容易に迂回してしまいます。これにより、ユーザーはセキュリティ警告に遭遇することなく、マルウェアのインストールプロセスを進めてしまう可能性が高まります。
従来のMacSync Stealerが`ClickFix`やターミナルベースのトリックなど、ユーザーの積極的な操作に依存していたのに対し、この新バージョンはSwiftアプリケーションとして構築されており、コマンドライン操作を一切必要としません。Jamfの分析によると、インストーラーはユーザーに右クリックして「開く」を選択するよう促す指示を表示しますが、これはGatekeeperの警告を回避するためによく用いられる手口です。さらに、このディスクイメージは25.5MBという異常に大きなサイズで、無関係なPDFドキュメントなどのデコイファイルで水増しされており、セキュリティツールの目を欺くための巧妙な工夫が凝らされています。
ステルス実行の深層:メモリ内での密かな活動
一度起動されると、MacSync StealerのSwiftベースのドロッパーは、そのペイロードを実行する前に複数の環境チェックを行います。まず、インターネット接続が確立されているかを確認し、次に約3600秒(1時間)の最小実行間隔を強制することで、サンドボックス環境での分析を回避しようとします。これらのチェックをクリアした後、マルウェアはリモートサーバーからエンコードされたスクリプトを密かに取得し、`runtimectl`というSwiftベースのヘルパーコンポーネントを通じて実行します。
ペイロードのダウンロードには、検知を避けるために改変された`curl`コマンドが使用されます。ダウンロードされたファイルは、実行前に検疫属性が削除され、正当性が検証されます。このマルウェアの特筆すべき点は、その活動の大部分がメモリ内で完結し、実行後に一時ファイルをクリーンアップすることで、システム上に残る痕跡を最小限に抑えることです。このステルス性の高い挙動は、フォレンジック分析を困難にし、攻撃者が長期間にわたってシステム内に潜伏することを可能にします。
標的となる機密情報:クレデンシャル窃取とデータ流出
MacSync Stealerの最終的な目的は、感染したmacOSシステムから機密情報を窃取することにあります。このマルウェアは、クレデンシャルハーベスティングルーチンとデータ流出機能を駆使し、ユーザーや企業の機密データを狙います。具体的には、パスワードストアからの認証情報窃取(MITRE ATT&CK T1555)や、ローカルシステムからのデータ収集(T1005)が行われます。これらの情報は、コマンド&コントロール(C2)チャネルを介して、`focusgroovy[.]com`や`zkcall[.]net`といった悪意のあるドメイン、あるいは`hxxps[:]//gatemadenp.]space/curl/...`のようなURLを通じて外部に流出されます。
`runtimectl`ヘルパーコンポーネントは、この情報窃取チェーン全体を統括する役割を担っています。インターネット接続の検証から悪意のあるスクリプトの実行、そして最終的な機密情報の体系的な流出まで、そのすべてを自動化されたプロセスで実行します。この効率的なデータ窃取メカニズムは、ユーザーに警告を与えることなく、貴重な情報を攻撃者の手に渡すことを可能にし、企業や個人のデータセキュリティに深刻な脅威をもたらします。
検知を欺く多層防御:セキュリティツールの盲点
MacSync Stealerは、その高度な検知回避技術によって、多くのセキュリティツールの盲点を突きます。前述のデコイファイルによるDMGパッケージの肥大化に加え、マルウェアはサンドボックス分析環境を回避するために接続性チェックを実行します。また、実行アーティファクトの使用後にそれらを削除し、スクリプトの自己削除を行うことで、フォレンジック調査の証拠を消し去ろうとします。これらの手法は、MITRE ATT&CKの防御回避(TA0005)戦術、特にインジケーター除去(T1070.004: ファイル削除)や仮想化/サンドボックス回避(T1497.001: システムチェック)に分類されます。
さらに、マルウェアは難読化されたファイルや情報(T1027)を使用し、コマンドの難読化(T1027.010)や、難読化/デコード(T1140)を通じて、その真の意図を隠蔽します。VirusTotalにアップロードされたサンプルでは、検知率が大きく異なり、一部のサンプルはわずか1つのセキュリティエンジンによってフラグ付けされたに過ぎず、多くは一般的なダウンローダーとして分類されました。これは、MacSync Stealerが既存のシグネチャベースの検知メカニズムをすり抜ける能力を持っていることを示しており、セキュリティ業界が直面する課題の深刻さを浮き彫りにしています。
macOS脅威の新たな局面:進化する攻撃手法の背景
Jamf Threat Labsは、「MacSync Stealer自体は全く新しいものではないが、今回のケースは、その作者がいかに配信方法を進化させ続けているかを浮き彫りにしている」と述べています。この配信方法の変化は、macOSマルウェアのランドスケープ全体における広範なトレンドを反映しており、攻撃者は署名され公証された実行ファイルにマルウェアを忍び込ませることで、より正規のアプリケーションに見せかけようと試みています。このような技術を悪用することで、攻撃者は早期に検知される可能性を低減させているのです。
Hive Proもまた、MacSync StealerがAppleの信頼されたコード署名および公証プロセスを悪用し、macOS Gatekeeper保護をユーザーの操作なしで迂回する能力は、macOSマルウェアの高度化における顕著なエスカレーションであると強調しています。これは、攻撃者がプラットフォームのセキュリティ機構を「破る」のではなく、「悪用する」方向へとシフトしていることを示しており、macOSの脅威環境における根本的な変化を意味します。MITRE ATT&CKの観点からは、実行(T1059)、永続化(T1543)、防御回避(T1553、T1027、T1497、T1070、T1036)、クレデンシャルアクセス(T1555)、情報収集(T1005)、C2(T1071)、データ流出(T1041)といった多岐にわたる戦術、技術、手順が用いられており、その攻撃の包括性が示されています。
セキュリティコミュニティからの警鐘と対策の提言
MacSync Stealerの進化は、macOSユーザーと組織にとって新たなセキュリティ上の課題を突きつけています。Hive Proは、このようなMacSync型の脅威に対して、Appleの公証審査プロセスを強化する必要があると提言しています。具体的には、公証されたmacOSアプリケーションに対する分析を拡大し、難読化されたスクリプト、疑わしいネットワーク挙動、異常なバンドル肥大化戦術などを検出するための強化された精査が求められます。これにより、Gatekeeper保護を正規のチャネルを通じて迂回する悪意のあるコード署名済みアプリケーションを特定できる可能性が高まります。
また、組織は、macOSシステムにおけるインストール後の挙動、特にスクリプトの実行、クレデンシャルアクセス試行、不正なデータ流出活動を監視できる包括的なエンドポイントセキュリティソリューションを展開すべきです。実行前の信頼シグナルのみに依存するのではなく、挙動分析を導入することで、MacSyncマルウェアや類似の公証済み脅威を検知することが可能になります。さらに、セキュリティチームは、スクリプトの自己削除、デコイファイルの使用、環境チェックなど、サンドボックスやフォレンジック分析を回避しようとする挙動を検出するメカニズムを実装し、高度なmacOSマルウェアキャンペーンが用いるこれらの回避戦術を監視することが不可欠です。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Reworked MacSync Stealer Adopts Quieter Installation Process - https://www.infosecurity-magazine.com/news/signed-variant-macsync-stealer/
- -MacSync A Notarized macOS Malware That Slips Past Gatekeeper | Hive Pro Threat Advisories - https://hivepro.com/threat-advisory/macsync-a-notarized-macos-malware-that-slips-past-gatekeeper/
- -Protection Bulletins - https://www.broadcom.com/support/security-center/protection-bulletin