元NSAのセキュリティ研究者がAppleシリコン「M1」Mac搭載でネイティブ動作する初のマルウェア発見

アップル独自開発のAppleシリコンことM1チップ搭載Macが発売されてからわずか数か月ですが、早くもネイティブ動作するマルウェアが発見されました。

この発見は、元NSA（米国家安全保障局）所属のセキュリティ研究者であるパトリック・ウォードル氏が、自らのブログObjective-Seeにて報告しているもの。M1 Macではインテル製チップ向けバイナリをRosetta 2で翻訳して動かすこともできますが、ウォードル氏が見つけたのはM1向けに再コンパイルされたArm64コードが含まれるものです。

具体的には以前からインテルMacを標的としているアドウェア「Pirit」をM1ネイティブ対応にした「GoSearch22.app」だったとのこと。このバージョンは大量の広告を表示し、ユーザーのブラウザからデータを収集することを目的としていると推測されています。

ワードル氏がこのマルウェアを発見したのは、Alphabetが所有するウィルス対策サイト（ファイルやWebサイトのマルウェア検査を行う）VirusTotalでした。さらにワードル氏は、GoSearch22は2020年11月23日にアップル開発者IDで実際に署名されていることも指摘。アップルはその時点で証明書を失効させていますが、野良で見つかったことからmacOSユーザーが感染した可能性があると述べられています。

それに加えてワードル氏は、VirusTotal上でx86(インテル製チップを標的としたもの）版を検出できたウィルス対策ソフトのうち、15％しかM1版のGoSearch22をマルウェアだと判定できなかったと報告しています。すなわち、ほとんどのアンチウイルスソフトはM1向けに設計されたマルウェアに対応する準備が整っていない、ということ。

この報告につき、別のセキュリティ研究者トーマス・リード氏はWiredに（既存のマルウェアを）M1向けにコンパイルすることは「プロジェクトの設定でスイッチを入れるのと同じぐらい簡単にできます」とコメントしています。

かつて「MacはWindowsよりもマルウェアの危険性が低い」との通説がありましたが、2019年にはMacがWindowsを上回ったとの調査結果もありました。一般にプラットフォームの普及が進むほど攻撃の対象となりやすくなり、かつM1 Macは順調な売れ行きを示していることもあり、今後はアップルもセキュリティ対策に頭を痛めるのかもしれません。