macOSには、Macマルウェアを検出するためのツールが多数組み込まれており、昨年はバックグラウンドタスクマネージャーも防御機能に追加されました。しかし、あるセキュリティ研究者は、これは簡単に回避でき、Appleは修正勧告に対処しなかったと述べています。

パトリック・ウォードル氏は、デフコン・ハッカー会議でその調査結果を発表したが、事前にアップル社に通知しないという異例の決断を下した。

AppleのMacマルウェア対策の3層保護

Apple は Mac をマルウェアから保護するための 3 層システムを採用しています。

まず、マルウェアのインストールを防止します。Mac App Storeでアプリを審査し、Gatekeeperと公証機能を使用して、他のすべてのアプリが認定開発者によって署名されていることを確認することでこれを実現します。

次に、マルウェアがこの層を通過した場合、XProtect を使用してマルウェアを認識し、実行をブロックします。

macOSには、シグネチャベースのマルウェア検出と削除を行うXProtectと呼ばれるウイルス対策技術が組み込まれています  。このシステムは、シグネチャベースのマルウェア検出ツールであるYARAシグネチャを使用しており、Appleはこれを定期的にアップデートしています。Appleは新たなマルウェアの感染や亜種を監視し、システムアップデートとは独立してシグネチャを自動的に更新することで、Macをマルウェア感染から守ります。XProtectは既知のマルウェアを自動的に検出し、その実行をブロックします。

第三に、マルウェアが一度実行されたとしても、Appleは将来の再発防止に努めています。Appleは、新たに特定されたマルウェアを検出するため、XProtectを頻繁にアップデートしています。さらに、Appleは昨年、最も危険なマルウェア、つまり永続的に動作するアプリを検出するバックグラウンドタスクマネージャーを導入しました。

一部のマルウェアは、例えば個人データを盗むために一度実行され、その後終了します。しかし、最も危険なマルウェアは持続的に実行されます。このタイプのマルウェアは、ユーザーの継続的なアクティビティを監視したり、攻撃者のサーバーから新しい要素をダウンロードしたりするなど、様々な機能を備えています。

Appleは、新しい永続タスクのインストールを監視し、Macユーザーとサードパーティ製セキュリティツールの両方に通知することで、この脆弱性を検知しようとしています。多くの正規アプリは永続タスクを作成するため、Mac App Storeや信頼できる開発者から新しいアプリをインストールしてこの警告が表示されても心配する必要はありません。

しかし、突然警告が表示された場合は、Mac が侵害された可能性があることを示しています。

しかし、それは簡単に回避できる

セキュリティ研究者のパトリック・ウォードル氏は昨年、この仕組みにいくつかの欠陥を発見し、Appleに報告しました。彼は以前、同様の機能を実現する独自のツールを開発していたため、この種の保護機能を実装する際の課題について多少の知識を持っています。

しかし、彼はWiredに対し、Appleは同社と話し合ったより根本的な問題に対処できなかったと語った。

バックグラウンドタスクマネージャーが初めて登場したとき、ウォードル氏はこのツールに、持続イベント通知の失敗を引き起こす基本的な問題を発見しました。彼はそれをAppleに報告し、Appleはエラーを修正しました。しかし、Appleはこのツールのより深刻な問題を特定しませんでした。

「何度もやり取りを重ね、最終的に彼らはその問題を修正しましたが、まるで墜落する飛行機にテープを貼るようなものでした」とウォードル氏は語る。「彼らは、その機能にかなりの作業が必要だと気づいていなかったのです。」

バックグラウンドタスクマネージャーのバイパスが明らかに

通常、ウォードル氏はAppleが脆弱性を修正した後にのみ、脆弱性の詳細を公開する。しかし今回は、Appleはそうする意思がないようだ、とウォードル氏は述べ、そのため、自身が発見した脆弱性のバイパスをDefconハッカーカンファレンスで公開することにした。

そのうちの 1 つは対象の Mac へのルート アクセスを必要としますが、他の 2 つは必要ありません。

Wardle氏は、バックグラウンドタスクマネージャーがユーザーとセキュリティ監視製品に送信するはずの永続通知を無効にするために、ルートアクセスを必要としない2つの方法も発見しました。これらのエクスプロイトのうち1つは、警告システムがコンピューターのオペレーティングシステムの中核であるカーネルと通信する方法におけるバグを悪用します。もう1つは、高度なシステム権限を持たないユーザーであってもプロセスをスリープ状態にできる機能を悪用します。Wardle氏は、この機能を操作して、永続通知がユーザーに届く前に通知を妨害できることを発見しました。

彼がこの行動方針を選んだのは、バックグラウンド タスク マネージャーが現在、ユーザーとセキュリティ企業の両方に誤った安心感を与えており、Mac マルウェアに対するこの保護機能がすでに導入されていると考える可能性があるためだ、と彼は述べています。

写真：フィリップ・カッツェンバーガー/Unsplash

havebin.com を Google ニュース フィードに追加します。