概要
Microsoftは、情報窃取攻撃がWindowsだけでなくAppleのmacOS環境にも急速に拡大していると警告しました。攻撃者はPythonのようなクロスプラットフォーム言語を利用し、正規に見せかけたプラットフォームを通じて大規模にマルウェアを配布しています。
macOSを標的とした攻撃の手口
MicrosoftのDefender Security Research Teamは、2025年後半からmacOSを標的とした情報窃取キャンペーンを確認しています。これらのキャンペーンでは、ClickFixなどのソーシャルエンジニアリング手法を悪用し、以下のような情報窃取マルウェアを配布するディスクイメージ(DMG)インストーラーを使用しています。
- Atomic macOS Stealer (AMOS)
- MacSync
- DigitStealer
攻撃では、ファイルレス実行、ネイティブmacOSユーティリティ、AppleScriptオートメーションといった技術が利用され、ウェブブラウザの認証情報、セッションデータ、iCloudキーチェーン、開発者シークレットなどの機密情報が窃取されます。
これらの攻撃の初期侵入経路は、しばしば悪意のある広告です。特にGoogle広告を通じて、DynamicLakeやAIツールを検索しているユーザーを偽サイトに誘導し、ClickFixのような手口でユーザー自身にマルウェアをインストールさせるよう仕向けています。
Pythonベースのマルウェアとフィッシング攻撃
Microsoftは、Pythonベースの情報窃取マルウェアが、迅速な適応性、コードの再利用性、そして最小限のオーバーヘッドで多様な環境を標的とできるため、攻撃者に利用されていると指摘しています。これらのマルウェアは通常、フィッシングメールを通じて配布され、ログイン認証情報、セッションCookie、認証トークン、クレジットカード番号、仮想通貨ウォレットのデータなどを収集します。
一例として、ベトナム語を話す脅威アクターに関連するPXA Stealerが挙げられます。2025年10月と12月に確認されたPXA Stealerキャンペーンでは、フィッシングメールが初期アクセスに利用され、レジストリのRunキーやスケジュールされたタスクを悪用して永続性を確立し、Telegramをコマンド&コントロール(C2)通信およびデータ漏洩に用いていました。
また、WhatsAppのような人気のメッセージングアプリを悪用してEternidade Stealerのようなマルウェアを配布し、金融口座や仮想通貨口座へのアクセス権を得ようとする事例も報告されています。
Windows環境への影響と対策
情報窃取関連の攻撃は、Windows環境も標的としています。例えば、偽のPDFエディタ「Crystal PDF」は、マルバタイジングや検索エンジン最適化(SEO)ポイズニング(Google広告経由)を通じて配布され、Mozilla FirefoxやChromeブラウザからCookie、セッションデータ、認証情報キャッシュを密かに収集するWindowsベースの情報窃取マルウェアを仕込んでいました。
推奨される対策
情報窃取の脅威に対抗するため、組織は以下の対策を講じるべきです。
- ユーザーに対して、マルバタイジングによるリダイレクトチェーン、偽のインストーラー、ClickFix形式のコピー&ペースト指示といったソーシャルエンジニアリング攻撃について教育する。
- 不審なターミナルアクティビティやiCloudキーチェーンへのアクセスを監視する。
- 新たに登録された、または疑わしいドメインへのPOSTリクエストについてネットワークの出力(エグレス)を検査する。
情報窃取の深刻な影響
情報窃取による侵害は、データ漏洩、内部システムへの不正アクセス、ビジネスメール詐欺(BEC)、サプライチェーン攻撃、さらにはランサムウェア攻撃に発展する可能性があります。組織はこれらの脅威を深刻に受け止め、適切な防御策を講じることが不可欠です。
元記事: https://thehackernews.com/2026/02/microsoft-warns-python-infostealers.html