

9to5Mac Security Biteは、Apple統合プラットフォームであるMosyleが独占的に提供しています。Appleデバイスをすぐに使用でき、企業にとって安全なものにすることが私たちの使命です。管理とセキュリティに対する独自の統合アプローチは、完全に自動化された強化とコンプライアンス、次世代EDR、AI搭載ゼロトラスト、独自の権限管理のための最先端のApple固有のセキュリティソリューションと、市場で最も強力で最新のApple MDMを組み合わせています。その結果、完全に自動化されたApple統合プラットフォームが誕生しました。現在45,000を超える組織から信頼されており、何百万台ものAppleデバイスを手間をかけずに手頃な価格ですぐに使用できます。今すぐ延長トライアルをリクエストして、MosyleがAppleと連携するために必要なすべてである理由を確認してください。
先週末、Googleは再び、悪質なウェブサイトをスポンサー検索結果として検索結果の上位に表示していたことが発覚しました。Google広告がマルウェアが埋め込まれたウェブサイトを承認したのは今回が初めてではありません。実際、最初の事例は2007年に遡ります。当時、Google広告プラットフォーム(当時はGoogle AdWords)は、偽のウイルス対策ソフトウェア(当時は「スケアウェア」と呼ばれていました)を宣伝していました。しかし、2025年の現在においても、DeepMindと潤沢な資金を持つGoogleが、なぜこのような事態を放置できるのでしょうか?ハッカーたちはどのようにしてGoogleを出し抜いているのでしょうか?
今週は、この新しいキャンペーンと、彼らがどのようにしてそれを成功させることができたのかについて簡単に説明したいと思います。
Security Biteは、 9to5Macで毎週お届けするセキュリティ特集コラムです。毎週、データプライバシーに関する洞察を共有し、最新の脆弱性について議論し、20億台を超えるアクティブデバイスからなるAppleの広大なエコシステムにおける新たな脅威に光を当てています。

偽のHomebrew広告がMacユーザーにマルウェアを配布している
Homebrew は、macOS および Linux で広く使用されているオープンソース パッケージ マネージャーであり、ユーザーはこれを使用してコマンド ライン経由でソフトウェアをインストール、更新、管理できます。
ライアン・チェンキー氏は先週土曜日のXへの投稿で、GoogleがMacとLinuxマシンを狙ったマルウェアを含む人気の開発ツールの悪質なクローンの広告を配信しているとプラットフォーム上の他のユーザーに警告した。
ほとんどの人はURLで偽サイトを見分けることができます。ハッカーは「o」の代わりに「0」を、小文字の「l」の代わりに大文字の「I」を使うなどです。しかし、今回のケースでは、偽のクローンサイトはGoogle検索でHomebrewの実際のURL(「brew.sh」)を表示しており、本物のサイトではないというヒントはほとんどないことがわかりました。しかし、クリックすると、ハッカーは潜在的な被害者を悪意のあるクローンサイト(「brewe.sh」)にリダイレクトします。

悪意のあるサイトでは、訪問者はターミナルでコマンドを実行してHomebrewをインストールするように指示されます。このプロセスは、正規のHomebrewのインストールプロセスと似ています。しかし、訪問者は知らないうちに、このコマンドを実行すると、MacまたはLinuxマシン上でマルウェアのダウンロードと実行が開始されます。

このキャンペーンで使用されたマルウェアはAMOS Stealer(別名「Atomic」)と呼ばれています。これはmacOS専用に設計されたインフォスティーラーで、サイバー犯罪者は月額1,000ドルのサブスクリプションサービスとして利用できます。感染すると、スクリプトを使用して可能な限り多くのユーザーデータを収集します。収集されるデータには通常、iCloudキーチェーンのパスワード、クレジットカード情報、ファイル、ブラウザに保存された暗号通貨ウォレットのキーなどが含まれます。その後、AMOSはcURLコマンドを使用して、盗んだデータを攻撃者にひそかに送信します。
Homebrewのプロジェクトリーダー、マイク・マクエイド氏もXに投稿し、この問題を認めつつも、プロジェクトの再発防止能力には限界があると強調した。マクエイド氏は、クローンサイトは既に削除されたとしながらも、Googleの審査プロセスが不十分だと批判し、「私たちにできることはほとんどありません。このようなことは何度も起こっており、Googleは詐欺師から金銭を受け取るのが好きなようです。ぜひこの件を広めてください。Googleの誰かがこれを完全に修正してくれることを願っています」と述べた。
もしあなたが私と同じなら、Googleがなぜいまだにこんなことを許しているのか、不思議に思うでしょう。特に昨年、よく知られ、信頼されている多要素認証ツールであるGoogle Authenticatorの偽のクローンが承認され、スポンサー検索結果として表示され、何も知らない被害者にマルウェアを仕込むという事件があったのですから。
使用される可能性のある技術
AppleのApp Storeの審査プロセスと同様に、Google Adsも悪意のある人物による「承認」を狙う攻撃から逃れることはできません。しかし、App Storeとは異なり、Google Adsは審査に自動化システムを大きく依存しているため、ハッカーが巧妙な回避策を講じることが可能です。
よくある手口の一つは、正規のドメイン名に酷似したドメイン名を登録することです。最近のHomebrewキャンペーンでは「brewe.sh」がその一例です。そこから、最初は無害なコンテンツを承認申請し、広告が承認されると悪質なサイトへのリダイレクトに置き換えるという「おとり商法」を実行できます。なぜこのような手口はGoogleに検知されないのでしょうか?ハッカーは、クリーンな履歴と高い評判を持つGoogle広告アカウントを乗っ取ることで、この手口を回避できます。こうしたアカウントは、多くの場合、より巧妙な手口で攻撃を逃れます。Googleが再びクロールするまで、正規のURLは検索結果に表示され続けるのです。
もちろん、彼らがどうやってそれを成し遂げたのかは断言できませんが、歴史が教えてくれることは…
幸いなことに、Google広告の報告プロセスのおかげで、これらの攻撃は通常短期間で収まります。しかし、数時間の露出でも数百、あるいは数千の感染につながる可能性があります。何しろ、Google検索は毎日何億人もの人々に利用されているのですから。
信頼は大切ですが、必ず確認してください。✌️
Appleのセキュリティに関する詳細
- Gravy Analyticsを巻き込んだ大規模なデータ侵害により、Candy Crush、Tinder、MyFitnessPalなどの人気スマートフォンアプリのユーザー数百万人の正確な位置情報が漏洩したようです。現在進行中のこの侵害について、知っておくべきことをご紹介します。
- ワシントン州は、2021年に発生したセキュリティ侵害で約7900万人の個人情報が漏洩したとしてTモバイルを提訴した。この情報には、ワシントン州住民200万人を含む。漏洩した情報には、社会保障番号、電話番号、住所、運転免許証情報などが含まれていた。
- チェックポイント・リサーチの新しいレポートは、ロシア語圏のサイバー犯罪者による悪名高いBansheeスティーラーマルウェアの新しい亜種が、検出を回避するためにAppleのセキュリティ対策を模倣した方法を詳細に説明しています。
- スバルのセキュリティ脆弱性により、数百万台の車が遠隔で追跡、解錠、エンジン始動が可能になった。1年間分の位置履歴が利用可能で、精度は5メートル以内だった(必ずしもApple関連ではないが、とにかく異常だ)。
読んでいただきありがとうございます!Security Biteは来週の金曜日に再開します。
Follow Arin: LinkedIn, Threads、
BlueSky
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。