ユーザーをだまして不正な手段でインストールさせ、迷惑な広告を執拗に表示させる「アドウェア」。そうした手口を阻止するはずの仕組みを利用して、Appleの「公証」を取得していたアドウェアが見つかった。シェア増大に伴ってmacOSを狙うマルウェアも急増し、「Macはマルウェアが少ないからWindowsより安全」という認識は通用しなくなっている。
公証はmacOS 10.15(Catalina)から必須とされた制度で、Mac App Store以外で配布されるmacOS用ソフトウェアは、全て事前にAppleに提出して公証を受ける必要がある。提出されたソフトウェアは自動スキャンが行われ、セキュリティチェックを通過すれば公証済みの証明チケットが添付される仕組み。この公証チケットがないソフトウェアは、ユーザーがインストールしようとしても画面に警告が表示されて開くことができない。
ところが不正なWebサイトに仕込まれていたアドウェアが、この公証チケットを獲得していたことが分かった。Macに詳しいセキュリティ専門家のパトリック・ウォードル氏によると、問題のWebサイトはmacOS用パッケージ管理システム「Homebrew」のWebサイトに見せかけてあり、ユーザーがこのサイトを開くと、「Adobe Flash Player」の更新と称して執拗にアドウェアをインストールさせようとする仕掛けだった。
こうしたアドウェアは、普通であれば公証を受けられず、macOSで警告画面が出てブロックされる。
しかし偽のHomebrewサイトに仕込まれていたアドウェアの場合、インストールを阻止する警告画面は表示されなかった。次期OS「macOS Big Sur」でさえも、「開く」ボタンが表示されて実行できてしまう状態だったという。つまり、このアドウェアは事前にAppleに提出されてスキャンされ、悪質性が検出されなかったとして公証スタンプを獲得していた。
Appleの"お墨付き"を得た悪質コードは、ウォードル氏が知る限りでは初めてだったという。macOSソフトウェアの公証は、「悪質性がないかどうかをAppleがチェックしてくれている」という安心感をユーザーに与える。しかし今回のようにマルウェアが公証を獲得してしまえば、それを信頼したユーザーが誤った安心感を抱いて危険にさらされかねないと同氏は危惧する。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR