Apple Siliconでx86-64マルウェアが動作 Rosetta 2を悪用か：セキュリティニュースアラート

GoogleはAppleのRosetta 2を悪用したmacOS向けマルウェアが存在することを報告した。Apple Silicon（ARM64）上でx86-64バイナリーを動作させるRosetta 2が攻撃者に悪用されている可能性がある。

[後藤大地，有限会社オングス]

　Googleは2025年3月4日（現地時間）、AppleのRosetta 2を悪用した「macOS」向けマルウェアの存在を明らかにした。Google傘下のサイバーセキュリティ企業であるMandiantによって、「Apple Silicon」（ARM64）上でx86-64バイナリーを動作させるためのRosetta 2の仕組みが攻撃者によって利用されている可能性が報告されている。

狙われるmacOS　Rosetta 2を悪用した新型マルウェアが登場

　Rosetta 2はAppleがmacOS 11（Big Sur）以降で導入したバイナリー翻訳技術だ。この技術によって従来のIntel Mac向けに開発されたx86-64アプリケーションをApple Silicon搭載Macで動作させることが可能となる。Rosetta 2は実行時にリアルタイムでバイナリーを変換する「Just-In-Time（JIT）」方式と、事前に変換ファイルを作成する「Ahead-Of-Time（AOT）」方式の両方を利用し、AOT方式ではAOTファイルが重要なフォレンジックアーティファクトとなる。

　近年、高度なmacOSマルウェアの幾つかがx86-64アーキテクチャ向けにコンパイルされていることが確認されている。これはApple Silicon環境でも互換性を持ち、macOSがx86-64バイナリーの実行に対して比較的緩やかなポリシーを適用しているためと考えられている。ARM64バイナリーの実行には厳格なコード署名要件がある一方、x86-64バイナリーはRosetta 2を介してより容易に実行できる点が悪用されている。

　x86-64バイナリーがRosetta 2で実行されると変換後のAOTファイルがシステム内の/var/db/oah/以下に保存される。これらのファイルはシステムのアップデートやRosetta 2の再インストール時に削除される可能性はあるが、攻撃者がマルウェアの痕跡を消去したとしてもAOTファイルが残る可能性がある。

　MandiantはmacOSの統合ログ（Unified Logs）やファイルシステムのイベントレコード（FSEvents）、AOTファイルの分析を組み合わせることでマルウェアの活動を特定する手掛かりとなると助言している。攻撃者はマルウェアを削除する可能性があるが、AOTファイルの存在によりアクティビティーを推測できる可能性があるとしている。

　Apple Silicon環境でもx86-64向けのマルウェアが動作する可能性があることから企業や個人ユーザーはmacOSのセキュリティ設定を見直し、適切な対策を講じることが求められている。今後、AppleがRosetta 2の挙動をどのように制御するのか注目される。