Apple(アップル)は悪意のあるソフトウェアが同社のアプリストアに侵入するのを阻止するために、最も厳格といわれるルールを運用しているが、ときとして悪いアプリが網の目をくぐり抜ける(未訳記事)ことがある。
アップルが「notarization」(公証)と呼ぶそのプロセスでは、アプリにセキュリティ上の問題や悪意あるコンテンツが含まれていないかを検査する。承認されると、Macに組み込まれたセキュリティ検査システムであるGatekeeper(ゲートキーパー)はそのアプリの実行を許可する。セキュリティテストを通過していないアプリは拒絶され、実行できない。
しかし、あるセキュリティ研究者チームは、誤ってアップルに承認されてしまったMac初のマルウェアを見つけたといっている。
Peter Dantini(ピーター・ダンティーニ)氏は、著名なMacセキュリティ研究者のPatrick Warlde(パトリック・ヴァルデ)氏と2人で、Adobe Flashのインストーラーに偽装したマルウェアを発見した。このマルウェアはよく見られるものであり、近年Flashがほとんど使われていないにも関わらず、数年来出回っている。そのほとんどは検証されていないコードを使用しているため、開かれると直ちにMacがブロックする。
しかしダンティーニ氏とヴァルデ氏が見つけた悪意あるFlashインストーラーには、アップルが承認したコードが使われているため、Mac上で実行できる。
ヴァルデ氏は、アップルがこのShlayerというよく知られたマルウェアが使用しているコードを承認したことを確認した。セキュリティ会社のKaspersky(カスペルスキー)はShlayerを、2019年にMacが「最も多く直面した脅威」だと語った。Shlayerは、アドウェアの一種で、暗号化されたウェブトラフィックを(HTTPSを利用しているサイトであっても)傍受し、サイトや検索結果を広告に置き換えて不当に広告料金を取得する。
「私の知る限りこれは最初の例だ」とヴァルデ氏がTechCrunchに知らせたブログ記事に書いている。
ヴァルデ氏によると、アップルはこの悪意あるコードが申請された際に検出できず、Macで実行することを承認した、という意味であり、2020年に公開予定のmacOS Big Sur未公開ベータ版でも動作することになる。
ヴァルデ氏の連絡を受けたアップルはアプリの承認を取り消し、将来このマルウェアがMac上で実行できないようにした。
アップル広報担当者はTechCrunch宛の声明で「悪意あるソフトウェアは常に変化しており、アップルの公証システムはMacからマルウェアを排除するとともに、発見された際には迅速に対応することを可能にしている。このアドウェアの存在を知り、我々は該当する変種の承認を取り消し、デベロッパーのアカウントを無効化し、関連する承認を取り消した。当社ユーザーの安全を守るために協力してくれた研究者たちに感謝する」。
しかしヴァルデ氏によると、アタッカーはその後すぐに新たな承認済みコードを使って復活し、Macのセキュリティを再び回避したという。アップルは、そのコードもブロックしたとTechCrunchに伝えた。イタチごっこは続く。
関連記事:Apple macOS security protections can easily bypassed with ‘synthetic’ clicks, researcher finds(未訳記事)
カテゴリー:セキュリティ
画像クレジット:NurPhoto / Getty Images
[原文へ]
(翻訳:Nob Takahashi / facebook )