先週の新ベータ版のリリースに続き、AppleはXProtectにこれまで見た中で最も重要なアップデートの一つをこっそりとリリースしました。macOSのマルウェア検出ツールに、74個の新しいYara検出ルールが追加されました。これらはすべて、単一の脅威であるAdloadを標的としています。一体これは何なのでしょうか？そして、なぜAppleはこれをそれほど問題視しているのでしょうか？

9to5Mac Security Biteは、Apple統合プラットフォームであるMosyleが独占的に提供しています。Appleデバイスをすぐに使用でき、企業にとって安全なものにすることが私たちの使命です。管理とセキュリティに対する独自の統合アプローチは、完全に自動化された強化とコンプライアンス、次世代EDR、AI搭載ゼロトラスト、独自の権限管理のための最先端のApple固有のセキュリティソリューションと、市場で最も強力で最新のApple MDMを組み合わせています。その結果、完全に自動化されたApple統合プラットフォームが誕生しました。現在45,000を超える組織から信頼されており、何百万台ものAppleデバイスを手間をかけずに手頃な価格ですぐに使用できます。今すぐ延長トライアルをリクエストして、MosyleがAppleと連携するために必要なすべてである理由を確認してください。

XProtect、Yara が最高だよね?

XProtectは2009年にmacOS X 10.6 Snow Leopardの一部として導入されました。当初は、インストールファイルでマルウェアが検出された場合に検出し、ユーザーに警告するためにリリースされました。しかし、XProtectは近年大幅に進化しました。長年使用されてきたマルウェア除去ツール（MRT）が2022年4月に廃止されたことを受け、Mac上の脅威の検出と修復を担う、より高性能なネイティブマルウェア対策コンポーネントであるXProtectRemediator（XPR）が登場しました。

macOS 14 Sonoma 以降、XProtect は次の 3 つの主要コンポーネントで構成されています。

1. XProtectアプリ自体は、アプリが最初に起動されるとき、署名が変更されるとき、または更新されるときに、Yara ルールを使用してマルウェアを検出できます。
2. XProtectRemediatorはよりプロアクティブに動作し、定期的なYaraスキャンでマルウェアを検出・削除できます。これらのスキャンはアクティビティが少ない時間帯にバックグラウンドで実行されるため、CPUへの影響は最小限に抑えられます。
3. XProtectBehaviorService (XBS)は最新バージョンの macOS で追加され、重要なリソースに関するシステムの動作を監視します。

XProtectスイートは、マルウェアの検出にYaraシグネチャベースの検出技術を活用しています。Yara自体は、コードまたはメタデータ内の特定の特性やパターンに基づいてファイル（マルウェアを含む）を識別する、広く普及しているオープンソースツールです。Yaraルールの優れた点は、Appleを含むあらゆる組織や個人が独自のルールを作成して活用できることです。

XProtectでは、Appleは主に汎用的な命名スキームや内部的な命名スキームを使用しており、実際のマルウェア名を難読化しています。そのため、マルウェアの識別が少し難しくなっています。Apple、ありがとう（ため息）。一部のルールには、Pirritアドウェアを検出するためのシグネチャであるXProtect_MACOS_PIRRIT_GENなど、意味のある名前が付けられています。しかし、XProtect_MACOS_2fc5997のようなより汎用的なルールや、XProtect_snowdriftのような内部的なルールもあります。

Sentinal One LabsのPhil Stokes氏は、難読化されたマルウェアファミリー名を一般的な業界用語にマッピングした便利なGitHubリポジトリを管理しています。ぜひご覧ください。

広告戦争：Appleの反撃

XProtect v2192 により、Apple は Adload のコードベース全体と、2017 年以降 macOS ユーザーをターゲットとして蔓延していたアドウェアおよびバンドルウェア ローダーの既存のすべての亜種を検出できるようになったようです。この騒動に詳しい人にとっては、これはずっと待たれていたことでした。

AdloadがMacに侵入すると（つまり、正規のソフトウェアを使ってユーザーを騙すと）、検索エンジンの検索結果を乗っ取り、独自の広告を挿入し、ユーザーに脅威アクターに料金を支払う可能性のあるサイトへの訪問を勧めます。これは、収集される可能性のある個人情報に加えて行われます。

さらに、このマルウェアファミリーは最近、GatekeeperとXProtectの両方による検出を回避できるようになり、Apple開発者証明書で「署名」され、「公証」されていることが判明しました。先週まで、多くの亜種がXProtectのデータベース内のマルウェアプロファイルと一致しませんでした。これは間違いなくAppleのセキュリティチームにとって大きな頭痛の種であり、74の新しいルールを大喜びでアップロードしたであろうことは想像に難くありません。

何よりも、これはサードパーティのマルウェア検出および削除ソフトウェアを使用せずに日常的に Mac を操作するユーザーにとって大きな勝利です。

XProtectはデフォルトで自動更新されます。macOS Sonomaの最新バージョンへのアップデートは必須ではありませんが、強くお勧めします。

このシリーズの続き

• iCloudメール、Gmail、その他はマルウェア検出が驚くほど下手、と研究で判明
• サイバー犯罪者はApple Store Onlineの第三者受取サービスを利用している
• Macで削除できるマルウェアはこちら
• 正規のMacアプリを装った自己破壊型macOSマルウェア
• ランサムウェアの支払いは、前年の減少にもかかわらず、2023年に過去最高の11億ドルに達した。

Arinをフォロー: Twitter/X、LinkedIn、スレッド

havebin.com を Google ニュース フィードに追加します。