ITmedia NEWS > 速報 >
ニュース
» 2019年06月24日 07時52分 公開

この頃、セキュリティ界隈で:仮想通貨取引狙うゼロデイ攻撃続発 Mac“門番”も見過ごす

Appleのセキュリティ機能「Gateway」をすり抜けたゼロデイ攻撃の手法とは?

[鈴木聖子,ITmedia]

 WebブラウザのFirefoxに発覚した深刻な脆弱性を巡り、未解決の脆弱性を突く「ゼロデイ攻撃」が相次いでいた実態が明らかになった。この問題を悪用したMacマルウェアは、macOSに標準装備の“門番”の監視の目もすり抜けていた。

 MozillaがFirefoxの更新版を公開して重大な脆弱性を修正したのは6月18日。実はその前日の17日、米仮想通貨取引所のCoinbaseは、この脆弱性を悪用しようとするゼロデイ攻撃を検出し、阻止していた。

 Coinbaseのセキュリティ責任者フィリップ・マーティン氏のTwitterによると、この攻撃では18日に修正された脆弱性のほか、もう1件のゼロデイの脆弱性も悪用されていた。Firefoxは20日に再度更新版がリリースされ、こちらの脆弱性にも対処した。

 今回の攻撃で狙われたのはCoinbaseだけではなかった。Macに詳しいセキュリティ専門家のパトリック・ウォードル氏は20日のブログで、同じFirefoxの脆弱性を突くMacマルウェアについて、1週間以上前に報告が寄せられていたことを明らかにした

 感染源は、このユーザーに届いた1通のメール。「Adams Prize Organizers」という名称をかたり、「われわれの同僚が、経験豊富なスペシャリストとしてあなたを推薦しました」などと記して、リンクをクリックするよう仕向ける内容だった。

photo 感染源のメール

 ウォードル氏がこのMacマルウェア(「Finder.app」という名称)を調べたところ、Coinbaseが検出したマルウェアと特徴が一致することが判明。しかもMacマルウェアに感染したユーザーは、ごく最近まで仮想通貨取引にかかわっていたという。

 Coinbaseは、ほかにも複数の仮想通貨関連の組織が標的にされたと伝えている。知らないうちにマルウェアを仕込まれた組織もあるかもしれない。

 ウォードル氏が分析したMacマルウェアは、2012年に発見されたマルウェア「OSX.Netwire」と酷似していることも分かった。Appleは2016年、macOS組み込みのセキュリティツール「XProtect」に、OSX.Netwireを検出するための定義ファイルを追加していた。

 ところがXProtectも、macOSの門番の役割を果たすマルウェア対策ツール「Gatekeeper」も、今回のマルウェアを見過ごした。

 ウォードル氏によると、Gatekeeperはユーザーが自分で操作するなど通常の手順でアプリケーションをダウンロードした場合は作動するものの、今回のように、脆弱性を突いて勝手にマルウェアなどがダウンロードされた場合は作動しないという。XProtectも同様の仕組みだった。

photo AppleによるGatekeeperの解説

 「この感染経路(Firefoxゼロデイ)のおかげで、GatekeeperもXProtectもユーザーを守ることができなかった。セキュリティをクパティーノのみに任せきりにするのは、明らかに賢明ではない」とウォードル氏は言う。なお、2019年秋にもリリース予定の「macOS 10.15 Catalina」では、この状況が変わるかもしれないと同氏は予想している。

Copyright © ITmedia, Inc. All Rights Reserved.