Macユーザーと他のプラットフォームユーザーの間で長年議論されているのは、macOSにマルウェアが存在するかどうかです。実は存在します!Macユーザーは、Windowsが台頭しウイルスが蔓延していた時代に、macOSに対して非常に警戒的(そして悲しいことに、時には攻撃的)になる傾向があります。
最近、コンピュータやモバイル システムを攻撃するマルウェアのほとんどは、Web サイトにアクセスしたり、電子メールやテキスト メッセージで添付ファイルを受信して開いたり、電子メール内のリンクをクリックして正規のサイトだと思い込ませ、誤って正規の認証情報を入力したりすることで侵入します。
そして、そのマルウェアのほとんどは古いものです。分析会社Check Pointの最近のアップデートによると、デスクトップでは、ほとんどの攻撃が古いバージョンのWindowsを標的としており、中には数年前のマルウェアの亜種を使用しているものもあります。モバイル側では、攻撃の60%が15か月前に登場した「Hummingbad」と呼ばれる単一の攻撃によるもので、これは多くの場合、正規のアプリに隠されたトロイの木馬として配信されます。
Appleは、セキュリティ研究者による事前の情報開示や、パッチが公開される前に発見された脆弱性を悪用することの難しさといった理由から、初めて実環境で発生した攻撃を未然に防ぐことに成功してきました。また、存在が知られていたにもかかわらず、旧リリースで完全にパッチが適用されず、多くのユーザーが依然として旧リリースを使用しているような、長期にわたるエクスプロイトも発生していません。
これにより、AppleのOSは実際よりも無敵であるように思われます。しかし、ウイルス対策パッケージが解決策となるのでしょうか?私や、macOSやiOSの脆弱性を発見した多くのセキュリティ専門家の見解では、ほとんどの場合、そうではありません。意味のある脆弱性については後ほど説明します。Macworldは長年ウイルス対策ソフトウェアのレビューを行っていません。これは、より広範な編集方針を反映しているのかもしれません。
Mac ユーザーにとって最大のリスクは、ランサムウェアと呼ばれる特定の種類のマルウェアの増加ですが、ウイルス定義に依存しない標的型マルウェア対策ソフトウェアを使用することで防御できます。
ランサムウェアの主な脅威
マルウェアは、その拡散経路、つまりどのようにコンピュータに侵入するかによって語られることが多いです。マルウェアは様々な方法で拡散します。例えば…
- ファイルを開いたときに実行されるウイルスのような悪意のある添付ファイルとして。
- 上で説明したトロイの木馬として。
- フィッシング、メール、テキストメッセージを通じて、システムを破壊するリンクをクリックするように誘導する
- スピアフィッシングは、被害者に関するターゲット情報を使用して、より本物らしく見せかけ、クリックしたり行動を起こしたりする可能性を高めます。
- リモートネットワーク攻撃は、セキュリティが不十分なモノのインターネット(IoT)デバイスを狙う、現在流行している手法です。(残念ながら、IoTデバイスの場合、ほとんどのデバイスがこれに該当します。)
macOSにはこれらの感染経路がすべて存在しますが、最近の感染経路として最も効果的なのはトロイの木馬です。これは、別の攻撃経路を見つけるよりも、正規のソフトウェアだと思い込んでインストールさせる方が簡単だからという理由もあります。2016年には、BitTorrentクライアントTransmissionにマルウェアが挿入された事例があり、2017年2月には別の種類のmacOSマルウェアが登場しました。
これらのトロイの木馬はどちらもランサムウェアであり、これは新しい感染経路ではありません。むしろ、上記のいずれかの経路で拡散する可能性があります。しかし、Windowsやその他のデスクトップOSでは深刻な問題となることが証明されています。これは、従来のマルウェアの多くとは異なり、「ユーザー空間」、つまりドキュメントや設定にあるファイルにのみ影響を与えるためです。
ランサムウェアは暗号化キーを使ってすべてのユーザーデータの内容を暗号化し、その周囲に実行ファイルを作成します。ファイルを開こうとするとランサムウェアが実行され、ビットコインで身代金を支払って復号キーを入手する方法が表示されます。個人の場合、身代金の額は比較的低く、場合によっては交渉で減額されることもあります。暗号化キーがなければ、暗号化前のバックアップやアーカイブがない限り、ドライブ上のファイルは永久に失われます。(Time Machineなどのバックアップは暗号化されたバージョンを忠実にコピーするため、最も古い正常なコピーが上書きされる前に問題を発見する必要があります。)
ランサムウェアは実行にそれほど高い権限を必要としないため、拡散は比較的容易です。2016年半ば、研究者たちはブラウザ以外でも動作するJavaScriptのみで動作するWindowsランサムウェアを発見しました。作成や改変が安価であるため、多くの人が拡散しているようです。チェック・ポイントは、2016年後半の全システムにおける感染の10%がランサムウェアの亜種だったと推定しており、その数は増加し続けています。攻撃者は多くのランサムウェアコードファミリーから選択でき、カスタマイズも容易です。
Macユーザーに対するランサムウェア攻撃は複数回発生すると予想されますが、AppleのXprotectシステムによって迅速に阻止される可能性が高いでしょう。Xprotectシステムは、既知のマルウェアシグネチャが利用可能になると自動的に更新されます。しかし、これらの攻撃に見舞われる前に、ご自身で身を守ることができます。
一般的な攻撃の幅広いカテゴリに対するツール
いくつかの手頃な価格の安価なツールをインストールすることで、ランサムウェアやネットワーク攻撃、さらには本質的にランサムウェアではない一部のカテゴリのトロイの木馬から身を守ることができます。
ランサムウェアの被害を受けて、ジョナサン・ジジアルスキー氏はLittle Flocker(個人利用で20ドル、最大5台のコンピュータまで)を開発しました。これは、特定のフォルダへのアクセスを検知し、アプリによるアクセスをブロックまたは許可するmacOSツールです。私はLittle Flockerを数ヶ月使用していますが、ジジアルスキー氏はソフトウェアを新しいバージョンにアップデートする際に必要なトレーニングの量を削減する継続的な改良を重ねてきました。ランサムウェアが一度攻撃に食らいつけば、監視されていないことがほぼ唯一の手段となり、Little Flockerは警戒を怠りません。また、キー入力をキャプチャしたり、マイクやカメラを使用するアプリも監視します。(ジジアルスキー氏は最近Appleに入社したため、Little Flockerの将来は不透明ですが、非常に便利なので、新たな活用先が見つかることを願っています。)
リトル・フロッカー リトル・フロッカーは目を光らせています。
Little Flockerと連携するBlock Blockは無料(まだベータ版)で、再起動後や強制終了時に自動起動するファイルをインストールしようとするソフトウェアを監視します。アドウェアなどの迷惑ソフトウェアの対策にも役立ちます。
macOS ランサムウェア パッケージが効果的に配布された場合、Little Flocker と Block Block が、何か悪いことが起きるのを防ぎ、警告を発します。その時点で、Macworld にチェックインし、ソーシャル ネットワーキングを使用して何が起こっているかを確認したり、発生を最初に報告したりすることができます。
悪意のあるソフトウェアがホームネットワークに接続して情報を共有するのをブロックする、並行して効果的な方法は、ファイアウォールとネットワークモニターです。Little Snitchは、Macに出入りするすべてのものを調べ、ルールを適用して許可された動作を許可し、それ以外の動作については警告する、成熟したアプリです。マルウェアは中央サーバーに通信しようとします。ファイアウォールを回避する方法はありますが、ネットワーク接続が想定されていないアプリが突然インターネットに接続しようとすると、検知されてしまいます。(Little Snitchを最後にレビューしたのは、2015年に現行バージョンが初めてリリースされたときです。)
セキュリティ分析会社Securosisの責任者で、Apple関連の問題に深い専門知識を持つリッチ・モーグル氏は、ウイルス対策ソフトを一切使用していないと述べている。ネットワーク、入力、ファイルの監視にはLittle Snitch、Little Flocker、Block Blockを頼りにしており、ウイルス対策のバリケードはメールホスティング会社に任せている。
しかし、本当に悪いものについてはどうでしょうか?
上で述べたようなことは、あまりにも安っぽい話だと思うかもしれません。Appleのセキュリティアップデートには、OSのリリースごと、そして内蔵ソフトウェアに数十ものセキュリティホールが修正されていることが多いのですが、Safariやメールの受信トレイを通じて、あなたを襲う可能性のある脆弱性が渦巻いているように感じるかもしれません。
それは部分的には真実です。macOSやiOSを狙う悪質なマルウェアは確かに数多く存在します。ただ、それらはあなたや私のような人間を狙うにはあまりにも高価すぎるのです。良質なマルウェアは、グレーマーケットやブラックマーケットで数十万ドル、あるいは数百万ドルで取引され、政府にサービスを販売する企業や犯罪組織、その他の怪しい組織に利用されています。
これらのエクスプロイトは、既存の市場で容易に価値を得られるため、公開されることなく内密に扱われています。使用される場合でも、控えめに、そして多くの場合、主要な標的に対して行われます。例えば、昨年の夏、アラブ首長国連邦の人権活動家アハメド・マンスール氏は、3件のゼロデイ(これまで知られていなかった)エクスプロイト攻撃の試みを受けました。
これらはiOS向けで、アンチウイルスソフトの実行に必要な権限を与えていません。しかし、macOSにも同様の脆弱性が見つかりました。これらの脆弱性は未知で巧妙だったため、Macのアンチウイルスソフトでは検出・ブロックできなかったでしょう。AppleはiOSの脆弱性を直ちに修正し、その後すぐにmacOSにも修正を加え、これらの脆弱性を無効化しました。
Macユーザーにとって、より一般的なカテゴリーのマルウェアによるリスクが全くないわけではありません。むしろ、最も可能性が高いのはファイルがロックされることです。そして幸いなことに、これは最も簡単に防御できる攻撃でもあります。
過去 1 年ほどの間に他の著名な研究者たちが辿った道に倣って、Zdziarski 氏も Apple に加わったことを考えると、こうした種類のツールが macOS の将来のバージョンにきちんとシームレスに組み込まれることを期待できるかもしれない。
