パスワードを忘れた? アカウント作成
15213735 story
MacOSX

3万台近いMacに感染しているが、まだ活動開始していないマルウェア「Silver Sparrow」 56

ストーリー by headless
銀雀 部門より
現在のところマルウェアとしての活動は開始していないが、3万台近いMacコンピューターに感染しているというマルウェア「Silver Sparrow」の情報をRed Canaryが発表し、実際の攻撃が始まる前に対策するよう呼び掛けている(Red Canaryのブログ記事Mac Rumorsの記事Mashableの記事The Vergeの記事)。

Silver Sparrowはバージョン1(updater.pkg)とバージョン2(update.pkg)の2つのインストールパッケージが見つかっており、バージョン1がx86_64アーキテクチャー(Intel Mac)向けにコンパイルされたMach-Oバイナリを含むのに対し、バージョン2はx86_64とM1の両アーキテクチャー向けにコンパイルされたMach-Oバイナリ(Universal 2バイナリ)を含む点が大きな違いだという。ただし、これらのバイナリに特別な機能はなく、バージョン1は「Hello, World!」と表示し、バージョン2は「You did it!」と表示するだけのものとのこと。

従来のmacOSマルウェアでみられなかった点として、実行にmacOSインストーラーのJavaScript API(Installer JS)を使用する点が挙げられている。Red CanaryはMalwarebytesおよびVMwareのCarbon Blackと協力して調査を進めており、Malwarebytesの調べによると2月17日時点で153か国で29,139台のmacOSエンドポイントが感染しているそうだ。特に米国・英国・カナダ・フランス・ドイツで感染数が多いという。

M1チップにネイティブ対応するマルウェアとしては、Silver Sparrowとは異なるマルウェアの発見をPatrick Wardle氏が先に報告している。Intel Mac用バイナリはRosetta 2による変換でM1 Macでもそのまま動作するが、Xcode 12を使用すればコードを変更することなくUniversal 2バイナリが作成できるため、今後増加していくとみられる。

現時点でSilver Sparrowが悪意あるペイロードをダウンロードする様子はないものの、将来を見据えたM1チップ互換性や世界での感染の広がりと感染数の多さ、運用の成熟性などを考慮して、Red Canaryでは大きな影響を与える可能性のある深刻な脅威とみなしている。これを受けてAppleは該当する開発者の署名を失効させており、公証機能などによりユーザーを保護できるとの考えを示しているとのことだ。
  • スラド諸氏による是非を伺いたい。

    ここに返信
  • by Anonymous Coward on 2021年02月23日 15時45分 (#3982960)

    おそらく今回のは単なる実験で終わる。ただし次はユーザーに被害が及ぶものが実際に現れるだろう。
    いつまでもMacにセキュリティソフトは必要ないという盲信に浸らず対策しないとそのうち痛い目にあうぞ。

    ここに返信
    • セキュリティソフトというのは原理が破綻しているわけですよ、既知のソフトが未知のマルウェアと同じOS上で動作するんですから。迷惑な素人を除ける飾りに過ぎない。まあ「なくても大丈夫」と「役に立たない」は微妙に異なりますが、入れたところで役に立たんのは間違いないのです。

      一般的な意味の常駐ソフト、セキュリティソフトを規約で禁止しているiOSのアプローチの方が筋は良いと思いますね。

      • by Anonymous Coward

        皆が皆カリカリチューンされた標的型攻撃を仕掛けるハッカーに狙われる重要機密を扱う会社に勤めてるわけじゃないので、迷惑な素人を除けるだけで十分事足りるのです。

    • by Anonymous Coward

      ユーザーのアクションでインストールされて悪意ある行動を起こさないマルウェアはセキュリティソフトあっても防げないんじゃね。

    • by Anonymous Coward

      いつまでもMacにセキュリティソフトは必要ないという盲信に浸らず対策しないとそのうち痛い目にあうぞ。

      えっ?セキュリティソフトは必要ないって事になっていたの?
      それは知らなんだ
      何年も前からセキュリティソフトを入れてる身としては、ちょっと情弱でしたかね

  • by Anonymous Coward on 2021年02月23日 16時24分 (#3982977)

    無症状の後遺症煽りはよ

    ここに返信
  • iPhoneみたいな、勝手アプリ禁止プラットホームが最大のマルウェア対策
    プラットホーム提供者以外は、勝手アプリ禁止&root権限なしのアプリしか作れなくするのがいい
    また不正アプリがみつかったらプラットホーム提供者が勝手に削除できるのもきわめて有効

    ここに返信
    • by Anonymous Coward

      (お上の気まぐれで自分が排除される側に回るまでは)ディストピアめいた管理社会も安全で暮らしやすいということですね

      • by Anonymous Coward

        (お上の気まぐれで自分が排除される側に回るまでは)ディストピアめいた管理社会も安全で暮らしやすいということですね

        理想郷とは無限のリソースが前提でございますので
        人が実現する理想郷は例外なくディストピアでございます

      • by Anonymous Coward

        > ディストピアめいた管理社会

        Appleがスーパーボールでの伝説のCMで描いた社会が実現されつつあるわけですね。
        あのCM、それを打ち砕くほうがAppleだとずっと勘違いしてました。

      • by Anonymous Coward

        さらに上に規制できる組織が存在しているのだからそれをお上と呼ぶのはちょっと違うかな

  • XProtect, Gatekeeper, Malware Removal Tool (MRT), もっと頑張れよ! って叫びたい

    ここに返信
    • by Anonymous Coward

      そもそもMac標準のFirewallが受信だけフィルタして送信は全部パスするってのがいけてない。

      iOSでもだけど、できればネットワークアクセスもオプトインの権限にして、初回に聞いてきて欲しいところ。

      • by Anonymous Coward

        どういうルールでフィルタする?
        このマルウェアはアップデータの振りをしてユーザーに実行させるから、実行モジュール単位ではユーザーは通信を許容してしまう。
        アップデータの通信先の正しさをユーザーが判断するのも困難だろう。

        初回に聞いてくる仕組みは問い合わせが多すぎてユーザーのチェックがザルになる事も問題だけど。

  • by Anonymous Coward on 2021年02月24日 4時48分 (#3983164)

    ここ数日話題になってて元ブログやいくつか記事を読んだけど、特に従来のものより技術的に洗練されたマルウェアには見えなかった。結局感染するにはユーザーが騙されてインストーラーを実行しなければならなくて、その後の動作や特徴も別に普通な感じ。
    基本的な感覚として、パソコンなんだからローカルに怪しいプログラムを実行しちゃったらそりゃあなんでもやられ放題で当たり前という教育を徹底させるしかないような。アプリができることを制限してSandboxに閉じ込める方向の安全性を求めるならスマホやタブレットになる。

    ここに返信
    • >結局感染するにはユーザーが騙されてインストーラーを実行しなければ

      たまに知り合いのPCを見ることがあるんだが、騙されるというよりは
      無条件ではいを押して色々インストールされちゃってることが多い。
      (macOS でなく Windowsなんだけど)

      デスクトップにウイルス対策ソフトが3個かhao123が入っているとか。

      遅くなったといわれたときは時間があればアンインストールしてあげるんだけど、
      しばらくすると同じ状態に...

      便利そうだからといってなんでもかんでも入れればいいというものじゃない。
      でも判断するのって難しいよね。

  • by Anonymous Coward on 2021年02月24日 9時25分 (#3983211)

    Red Canaryのサイト見たけどよく分からない。

    ここに返信
  • by Anonymous Coward on 2021年02月24日 10時55分 (#3983244)

    「海雀」 北原白秋
    海雀、海雀
    銀の点点、海雀
    波ゆりくれば ゆりあげて
    波ひきゆけば かげ失する
    海雀、海雀
    銀の点点、海雀

    「Silver Sparrow」から連想した。

    和名 ウミスズメ
    英名 Ancient murrelet
    だから直結はしないだろうけど。
    https://ja.wikipedia.org/wiki/%E3%82%A6%E3%83%9F%E3%82%B9%E3%82%BA%E3%83%A1 [wikipedia.org]

    ここに返信
typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...