Hackers Leverage Built-in MacOS Protection Features to Deploy Malware
2025/09/01 CyberSecurityNews — 長年にわたり macOS は、堅牢かつ統合されたセキュリティ・スタックとして高く評価されてきたが、サイバー犯罪者たちが見つけ出したのは、これらの防御機能を巧みに悪用する方法である。最近のインシデントにおける攻撃者は、Keychain/SIP/TCC/Gatekeeper/File Quarantine/XProtect/XProtect Remediator を介して、悪意のペイロードを密かに配信しているという。
主なポイント
- macOS ツール (Keychain/SIP/File Quarantine) を悪用する、認証情報の窃取と検出の回避。
- Gatekeeper の無効化/TCC クリックジャック/XProtect アンロードによる、防御機能の回避。
- Sigma ルールとサードパーティの EDR による ESF ログ記録で、確実な検知を実現。
macOS ビルトイン保護機能の悪用
Kaspersky の報告によると、攻撃者たちは単純な攻撃から、正規のツールなどを巧みに悪用する攻撃へと移行しているようだ。一般的な攻撃ベクターとして挙げられるのは Keychain である。攻撃者たちは、”/usr/bin/security” の “list-keychains” コマンドや “security dump-keychain” などのユーティリティ、あるいは、ネイティブの “/usr/bin/security” コマンドを悪用して認証情報を入手する。
このような不正使用を検出するために、ユーザー組織として必要なことは、ESF を介したプロセス作成イベントのログ記録や、”list-keychains” または “dump-keychain” に一致する、コマンドライン呼び出しへのフラグの設定である。
代表的な Sigma ルールは、”attack.credential-access” (T1555.001) であり、これらのパターンに対してトリガーされる。
System Integrity Protection (SIP) も標的化されている。攻撃者たちは、リカバリ・モードで起動して実行するが、多くの場合において、”csrutil status” を用いた SIP ステータスの調査が行われる。
リカバリ・モードでの実行は、標準ログに記録されないため、防御側は SIP の状態を継続的に監視し、変化に対してアラートを生成する必要がある。それは、”attack.discovery” におけるSigma ルール T1518.001 と整合するアプローチである。
File Quarantine/Gatekeeper/TCC の武器化
ダウンロードされた実行ファイルに対して、”com.apple.quarantine” 属性を付与するファイル隔離は、curl や wget などの低レベル・ツール、または、以下のコマンドを実行することで回避できる。
“-d com.apple.quarantine” で “xattr” 実行を監視することで、隔離解除の試みを検出できる (attack.defense-evasion の Sigma T1553.001)。
Gatekeeper はコード署名と “spctl” ユーティリティに依存している。Kaspersky によると、それを無効化する攻撃者は、ユーザーにアプリを右クリックさせて署名チェックを回避させる可能性があるという。
“spctl” に “–master-disable” または “–global-disable” パラメータを指定して、アラートを発動することで、これらの防御回避戦術を発見できる (Sigma T1562.001)。
Transparency, Consent, and Control (TCC) は、SQLite ベースの “TCC.db” を通じて、カメラ/マイク/フルディスク・アクセスを制御する。
それを変更するためには、SIP の無効化やシステム・プロセスの乗っ取りが必要となるが、クリック・ジャッキングを用いる攻撃者はユーザーを騙して、昇格した権限を付与させる。”TCC.db” の変更とユーザー・プロンプトを、継続的に監査することが、早期の警告において不可欠である。
最後に、XProtect と XProtect Remediator は、シグネチャ・ベースのマルウェア・ブロックと自動修復を提供する。
高度な攻撃者は、署名されていないカーネル拡張機能 (kext) の挿入や “launchctl” の悪用により、Apple のデーモンをアンロードし、これらのサービスの無効化やバイパスを試行する。防御側として必要なことは、”launchctl” のアンロード試行と、”unsigned-kext” のロード試行を追跡することだ。
macOS の統合セキュリティ・レイヤーは強力であるが、正当なメカニズムの悪用へ向けて、攻撃者たちは絶えず進化している。
詳細な ESF ベースのログ記録を実装し、重要なコマンド・パターンに Sigma ルールをデプロイし、サードパーティの EDR ソリューションの導入によりネイティブ防御を強化することで、これらの高度な脅威を効果的に検出/阻止できる。
macOS の強力なセキュリティ機能そのものが、攻撃者に悪用される可能性を紹介する記事です。その原因は、Keychain/SIP/Gatekeeper などの正規ツールや仕組みが、想定外の形で悪用される点にあります。たとえば、Keychain のコマンドを流用した認証情報の抜きとりや、Gatekeeper の無効化による不正アプリの実行などが起こり得ると、この記事は指摘しています。macOS ユーザーさんにとっては、気になるところですね。よろしければ、macOS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.