SentinelLabsは、暗号通貨などのブロックチェーン技術を利用するMacユーザーを標的とする新たなマルウェアに関するレポートを公開しました。SentinelLabsが引用したHuntabil.ITの調査によると、この攻撃の背後にいる脅威エージェントは北朝鮮を拠点としているようです。
この攻撃は、AppleScript、C++、Nimで記述された実行可能スクリプトを利用しています。標的のユーザーには、クラウドベースのB2BスケジューリングサービスであるCalendly経由で会議の招待状が送信されます。攻撃者は標的の信頼できる連絡先になりすまし、Telegram経由で連絡を取ります。招待状には「Zoom SDKアップデートスクリプト」へのリンクのように見えますが、実際にはマルウェアをダウンロードしてインストールするためのリンクです。
インストールされると、マルウェアは「一般的なシステムデータ」、ブラウザデータ、Telegramのチャット履歴を収集します。Macのログイン情報、使用中のmacOSのバージョン、macOSのキーチェーン内のパスワードなどのユーザーデータも収集します。SentinelLabsは、Arc、Brave、Firefox、Google Chrome、Microsoft Edgeのデータも標的としていると報告していますが、Safariは含まれていませんでした。
マルウェアから身を守る方法
SentinelLabsが報告した攻撃の性質(CalendlyとTelegramを利用するブロックチェーン技術のMacユーザー)を考えると、ほとんどのMacユーザーは標的にはならないと思われます。しかし、報告書は、NimベースのソフトウェアとAppleScriptの組み合わせは比較的新しい技術であると指摘しています。この組み合わせはマルウェアの検出回避に役立ち、最終的にはより広範な攻撃に利用される可能性があります。
個人ユーザーとしてマルウェアから身を守る最も簡単な方法は、GitHubなどのリポジトリやその他のダウンロードサイトからソフトウェアをダウンロードしないことです。Mac App StoreはAppleがソフトウェアを審査しており、アプリを入手する最も安全な方法です。Mac App Storeを利用したくない場合は、開発者のウェブサイトから直接ソフトウェアを購入してください。クラックされたソフトウェアの使用に固執すると、マルウェアに感染するリスクが常に存在します。
知らない人や予期しない送信元から届いたメールやテキスト内のリンクは絶対に開かないでください。取引先からのメールのように見える場合は、送信者のメールアドレスを確認し、URLを注意深く確認してください。リンクやボタンが表示されている場合は、Controlキーを押しながらクリックし、「リンクをコピー」を選択してテキストエディタに貼り付けると、実際のURLが表示され、確認できます。
AppleはOSアップデートを通じてセキュリティパッチをリリースするため、できるだけ早くインストールすることが重要です。Macworldには、ウイルス対策ソフトウェアが必要かどうかのガイド、Macのウイルス、マルウェア、トロイの木馬のリスト、Macセキュリティソフトウェアの比較(特にIntegoを推奨)など、役立つガイドがいくつか掲載されています。
著者: ロマン・ロヨラ、Macworld シニアエディター
ロマンはMacworldのシニアエディターで、30年以上にわたりテクノロジー業界を取材し、MacをはじめとするAppleエコシステム製品を中心に活躍しています。Macworld Podcastのホストも務めています。彼のキャリアはMacUserで始まり、Apple認定修理技術者(当時はAppleがそのような制度を設けていた)として認定されました。MacAddict、MacLife、TechTVでも活躍しています。
