はじめに:Gatekeeper変更後の新たな脅威
2024年8月にAppleが人気の「右クリックで開く」Gatekeeperオーバーライドを廃止して以来、脅威アクターはmacOS上でマルウェアを配信する戦術を変更しました。新たな手法として、攻撃者はAppleScript(.scpt)ファイルを悪用し、セキュリティ制御を回避して認証情報窃取型マルウェアを配布するケースが増加しています。これらのマルウェアは、ZoomやMicrosoft Teamsなどの人気アプリケーションの正規のソフトウェアアップデートを装っています。
AppleによるGatekeeperオーバーライドの削除は、macOSマルウェアにとって最も効果的な感染経路の一つを排除しました。これに対し、攻撃者は代替の配信方法を開発しましたが、その多くは被害者が手動でターミナルを操作する必要があり、悪用を成功させる上での大きな障壁となっていました。しかし、脅威アクターはより巧妙な回避策を発見しました。それは、.scptファイルを武器化して悪意のあるペイロードを実行し、もっともらしい否認を維持するというものです。
AppleScript攻撃の仕組み
この攻撃チェーンは単純ながらも効果的です。デフォルトでは、.scptファイルはダブルクリックするとスクリプトエディタで開きます。攻撃者はこれらのスクリプト内に悪意のあるコマンドを埋め込み、ソーシャルエンジニアリングの手口を使って実行を促します。スクリプト内のコメントはユーザーに実行を促すように仕向けられ、実際の悪意のあるコードは多数の空白行の背後に隠されていることがよくあります。
ユーザーが「実行」ボタンをクリックするか、Command+Rを押すと、たとえGatekeeperによって隔離対象としてフラグが立てられていても、スクリプトは即座に実行されます。この方法は、スクリプトエディタが正規のmacOSアプリケーションであるため、従来のマルウェア配信メカニズムよりも疑われにくいという点で特に悪質です。
セキュリティ研究者たちは、.scptファイルが説得力のある偽のドキュメントやアプリケーションインストーラーの作成に利用されていることを確認しています。かつては高度な脅威アクターの手法であったものが、現在ではOdyssey StealerやMacSync Stealerを含むコモディティマルウェアファミリーにも採用されており、APT戦術が広く利用される攻撃ベクトルへと成熟したことを示唆しています。
巧妙な偽装と検出回避
脅威アクターは、正規のドキュメント(財務提案書や投資契約書など)を装った偽の.docxや.pptxファイルを作成し、信頼性を高めるためにカスタムアイコンを付けています。同様に、macOSユーザーを欺くために設計された洗練されたフィッシングウェブサイトを通じて、Teams、Zoom、その他の人気アプリケーションの偽のアップデートインストーラーが配布されています。
ファイル名の偽装に加え、攻撃者は.scptファイルにカスタムアイコンを割り当てることで、ソーシャルエンジニアリングの要素を強化しています。これらのアイコンはファイルのリソースフォークに保存され、ZIPやDMGアーカイブを介してファイルが配信されても保持されます。ユーザーがこれらのファイルを解凍すると、スクリプトのインジケーターではなく、説得力のある偽のドキュメントやアプリケーションのアイコンが表示されるため、実行される可能性が大幅に高まります。
VirusTotalの分析によると、これらの悪意のある.scptファイルの多くは、アンチウイルスエンジンによって全く検出されず、回避に成功していることが明らかになっています。この手法を用いたサンプルは、Microsoft Teams SDKアップデート、Zoom SDKアップデート、および一般的なソフトウェアパッケージを装って発見されており、攻撃シナリオの広範さを示しています。
対策と推奨事項
AppleScriptベースの配信の出現は、macOSセキュリティにおける重大な脆弱性を示しています。Windowsでは同様のスクリプトベースの攻撃がデフォルトアプリケーションの変更によって軽減されてきましたが、macOSユーザーには直接的な防御オプションが不足しています。
セキュリティチームは、.scptファイルのデフォルトアプリケーションをスクリプトエディタから変更することで防御策を講じることができます。これは、Windowsにおける.jsや.vbsファイルに対する推奨事項と同様です。ハンターは、難読化された文字列やシェルスクリプト実行に関連するイベントコードを含む疑わしいコマンドパターンを検索することで、悪意のあるスクリプトを検出できます。攻撃者がこれらの手法を洗練させ、PowerShell攻撃と同様の難読化戦略を採用し続ける中、組織はmacOS環境を標的とするAppleScriptベースの脅威に対する警戒を怠らないようにする必要があります。