Macアプリの安全を保証するAppleの「公証」悪用　増えるmacOS狙いのマルウェア

こちらは、メディアジーン コマースチームからの記事です。

Amazon（アマゾン）で毎日開催されているタイムセール。本日2020年9月7日は、1000円台のPCにも使える5段階調整できる竹製ブックスタンドや吸汗速乾・消臭性のある加圧シャツなど、今すぐ欲しい人気のアイテムがお得に多数登場しています。

なお、以下の表示価格は2020年9月7日7時現在のもの。変更や売り切れの可能性もありますので、それぞれ販売ページでご確認ください（サイズやカラー選択も可能ですが、一部セール対象外のサイズ・カラーもありますので、販売ページでよくご確認ください）。ユーザーをだまして不正な手段でインストールさせ、迷惑な広告を執拗に表示させる「アドウェア」。そうした手口を阻止するはずの仕組みを利用して、Appleの「公証」を取得していたアドウェアが見つかった。シェア増大に伴ってmacOSを狙うマルウェアも急増し、「Macはマルウェアが少ないからWindowsより安全」という認識は通用しなくなっている。

　公証はmacOS 10.15（Catalina）から必須とされた制度で、Mac App Store以外で配布されるmacOS用ソフトウェアは、全て事前にAppleに提出して公証を受ける必要がある。提出されたソフトウェアは自動スキャンが行われ、セキュリティチェックを通過すれば公証済みの証明チケットが添付される仕組み。この公証チケットがないソフトウェアは、ユーザーがインストールしようとしても画面に警告が表示されて開くことができない。

ところが不正なWebサイトに仕込まれていたアドウェアが、この公証チケットを獲得していたことが分かった。Macに詳しいセキュリティ専門家のパトリック・ウォードル氏によると、問題のWebサイトはmacOS用パッケージ管理システム「Homebrew」のWebサイトに見せかけてあり、ユーザーがこのサイトを開くと、「Adobe Flash Player」の更新と称して執拗にアドウェアをインストールさせようとする仕掛けだった。

　こうしたアドウェアは、普通であれば公証を受けられず、macOSで警告画面が出てブロックされる。

　しかし偽のHomebrewサイトに仕込まれていたアドウェアの場合、インストールを阻止する警告画面は表示されなかった。次期OS「macOS Big Sur」でさえも、「開く」ボタンが表示されて実行できてしまう状態だったという。つまり、このアドウェアは事前にAppleに提出されてスキャンされ、悪質性が検出されなかったとして公証スタンプを獲得していた。

　Appleの"お墨付き"を得た悪質コードは、ウォードル氏が知る限りでは初めてだったという。macOSソフトウェアの公証は、「悪質性がないかどうかをAppleがチェックしてくれている」という安心感をユーザーに与える。しかし今回のようにマルウェアが公証を獲得してしまえば、それを信頼したユーザーが誤った安心感を抱いて危険にさらされかねないと同氏は危惧する。