Researchers Discover First Ever Major Ransomware Targeting macOS
2023/04/19 DarkReading — 悪名高い LockBit ランサムウェア・グループが、macOS デバイス用のマルウェアを開発した。これは、主要なランサムウェア・グループが、Apple の領域に踏み込む初めてのケースになる。LockBit は、世界で最も多発する Ransomware-as-a-service (RaaS) オペレーターの1つであり、注目を集める攻撃/洗練された悪意のプログラム/グレードAの PR などで知られている。
4月15日に MalwareHunterTeam のランサムウェア・リポジトリで、同グループが macOS で実験していることを示す、最初の証拠は公表された。研究者たちは、「私たちが知る限り、Apple Mac デバイスをターゲットにする、LockBit ランサムウェア・サンプルの最初のビルドである。これは “ビッグネームの” ギャングにとって、初めてのことなのだろうか?」とツイートしている。
その直後に、マルウェア研究サイトである vx-underground が、この話に一石を投じた。同サイトは、「どうやら、我々は出遅れたようだ。この macOS 上の亜種は、2022年11月11日から利用可能だった」とツイートしている。
Mac 用ランサムウェアの登場により、警鐘を鳴らされるかもしれないが、バイナリを詳しく調べると、まだプライム・タイムには早いことがわかる。
Objective-See Foundation の創設者である Patrick Wardle は、「今のところ、企業の平均的な Mac ユーザーへの影響は基本的にゼロだ」と、Dark Reading に対して語っている。彼は 4月16日に発表したレポートで、サンプルを分析している。
しかし、「これは、来るべきモノの前兆として捉えるべきだと思う。非常に潤沢な資金と、やる気のある大規模なランサムウェア・グループが、『俺たちは macOS に狙いを定めているんだ』と言っているわけだ」と、彼は付け加えている。
Mac ユーザーは、ランサムウェアが、自分たちを狙ってきたときのために、準備できているのだろうか?
Mac 用の LockBit
土曜日に発見されたものは、macOS 向けを装った Windows のマルウェアというのが、一番しっくりくるかもしれない。Wardle がコードを解凍したところ、autorun.inf/ntuser.dat.log などの、Windows のアーティファクトに関連する複数の文字列を発見された。しかし、macOS を狙う意図を示す唯一の構成要素として、”apple_config” と呼ばれる変数があったという。
Wardle は、「 マルウェアのバイナリの残りは、macOS 用にコンパイルされた Linux コードのように見える。私が見つけた macOS 特有の参照とカスタマイズの唯一の例だ」と指摘している。
現時点では、プロジェクトを完成していないことを示す兆候は、他にもあった。たとえば、コードには “ad-hoc“ という署名があったが、盗んだ Apple Developer ID の代用品であると思われる。
Wardle は、「これは、将来の RaaS 顧客のためのプレースホルダーかもしれない。macOS システムにダウンロードされた場合に、つまり攻撃者により展開された場合であっても、それを macOS が実行させないということだ」と説明している。
言うまでもなく、 現在の LockBit は Apple の防御を突破していない。しかし、だからと言って、Mac ユーザーが安心できるわけではない。
Mac へと向かうランサムウェア
Conti/Clop/Hive などの、有名どころのランサムウェアが、 Mac コンピュータ用のランサムウェアを開発したことは、これまでには一度も無かった。それには、一つの大きな理由がありそうだ。
Wardle は、「従来において、大規模なランサムウェアの攻撃対象が、誰であったかを考えてみてほしい。病院や郵便施設などの、伝統的な企業だ。これらの企業は一般的に Windows ベースだ」と指摘している。
しかし、徐々にではあるが、企業環境では Apple 端末が普及しつつある。JAMF の 2021年の調査によると、Apple のタブレットは企業で最もよく使われており、iPhone は企業におけるスマートフォンの約半数を占めている。また、企業における macOS デバイスの平均普及率は約 23% (2年前は17%) となっている。
Wardle は、「パンデミックと在宅勤務が、これに拍車をかけた。多くの人々 Mac コンピュータを所有している。また、若い世代が社会人になるにつれ、Apple のエコシステムが浸透し始めている。日和見主義のハッカーたちは、潜在的な被害者の多くが移行していることに気づき、悪意のプログラムを進化させている」と指摘している。
つまり、問題は、ランサムウェア・グループが macOS に参入するどうかではなく、どの程度で参入するか、ということかもしれない。
Apple デバイスはランサムウェアに対応できているのか?
Mac ユーザーにとって幸運なことに、このランサムウェアの「運命の日」を Apple は予期しており、積極的に先手を打ってきた。Wardle は、macOS にすでに組み込まれている2つの主要な防御策を指摘する。
1つ目は、システム・ファイルが、読み取り専用の状態になっていることだ。そのため、たとえランサムウェアがコンピュータのルートアクセスを取得したとしても、重要なファイルの変更や、システムのロック/操作不能などはできない。
2つ目は、TCC (Transparency, Consent, and Control) だ。
Wardle は、「たとえば、ユーザーのドキュメント・ディレクトリ/デスクトップ/ダウンロード/ブラウザ・フォルダ/クッキーなどの、特定のディレクトリが OS により保護されているという考え方だ」と説明している。
ランサムウェアがシステムに侵入して TCC に遭遇した場合には、ユーザーに明示的にアクセスを承認してもらなどの、別の手段を講じない限り、暗号化したいファイルにアクセスできない。
しかし、この嬉しいニュースにも注意点がある。Wardle は、「Apple はセキュリティの仕組みを実装することに成功したが、これらの機能はまだ実際に試されていない。もしかしたら、ハッカーに突かれて欠陥が見つかるかもしれない。たとえば、TCC は、初日からバイパスに悩まされている 。攻撃者が技術を向上させ、より効果的なランサムウェアを作らないと考えるのは甘いだろう。だから、今、この話をすることは本当に素晴らしいことだと思う」と締め括っている。
ほんとうに、LockBit は macOS を攻めてくるのでしょうか? 彼らの動機は経済効果なので、エンタープライズのサーバに標的を絞り込むはずです。したがって、macOS スパイウェアなら分かるのですが、ランサムウェアというのは腑に落ちません。とは言え、せっかくの情報なので、ありがたく訳させてもらいました。
2023/03/27:MacStealer という macOS マルウェア
2022/08/23:macOS を狙うマルウェア XCSSET
2022/07/06:iOS/macOS に追加された Lockdown Mode
IoT OT Security News 
You must be logged in to post a comment.