マルウェアの脅威を解き明かす:macOSはどのように脅威を検出し、駆除するか

マルウェアの脅威を解き明かす:macOSはどのように脅威を検出し、駆除するか

Macユーザーとして、私たちは悪意のあるソフトウェアからデバイスを保護する内蔵のセキュリティ機能について、しばしば疑問を抱きます。

Appleは、macOSの防御メカニズムを強化するために、サードパーティのソフトウェアを使用せずにマルウェアを検出・駆除するXProtectスイートを提供しています。

XProtectとYaraルールについて

2009年にmacOS X 10.6 Snow Leopardで導入されたXProtectは、その登場以来、長い道のりを歩んできました。XProtectは当初、インストールファイルにマルウェアが含まれていることをユーザーに警告するために設計されましたが、最近になって大幅な改良が加えられました。


2022年4月にマルウェア除去ツール(MRT)が廃止され、Mac上で脅威を検出して除去する、より高性能なネイティブのマルウェア対策コンポーネントであるXProtectRemediator(XPR)への道が開かれました。

XProtectの検出機能の中心はYaraルールです。Yaraは、コードやメタデータに含まれる特定の特徴やパターンに基づいて、マルウェアを含むファイルを識別するオープンソースのツールです。Yaraルールの汎用性により、Appleを含む組織や個人は、独自のカスタムシグネチャを作成して利用することができます。

macOS 14 SonomaのXProtectスイート

macOS 14 SonomaのXProtectスイートは、3つの主要コンポーネントで構成されています:

  1. XProtect アプリ: 1.XProtectアプリ:アプリの起動、シグネチャの変更、更新時にYaraルールを使用してマルウェアを検出します。
  2. XProtectRemediator(XPR): Yaraルールによる定期的なバックグラウンドスキャンにより、CPU使用率への影響を最小限に抑えながら、マルウェアをプロアクティブに検出・除去します。
  3. XProtectBehaviorService(XBS): 最新のmacOSバージョンで追加されたXBSは、重要なリソースに関連するシステムの動作を監視します。

XProtectの難読化されたマルウェア名の解読

XProtectが識別できる特定のマルウェアを理解する上での1つの課題は、Appleが一般的な内部命名スキームを使用していることです。

一部のYaraルールには、Pirritアドウェアを検出するためのXProtect_MACOS_PIRRIT_GENのような明白な名前がついていますが、ほとんどのルールでは、XProtect_MACOS_2fc5997のような一般的な名前や、XProtect_snowdriftのような内部シグネチャが使用されています。

Sentinel One LabsのPhil StokesやAldenのようなセキュリティ研究者は、これらの難読化されたシグネチャを、ベンダーによって使用され、一般的なマルウェアスキャナーで検出されるより一般的な名前にマッピングする作業に取り組んできました。彼らの努力により、XProtectが効果的に検出・除去できるマルウェアが明らかになりました。

マルウェアの脅威:XProtectで除去できるもの

XProtectアプリ自体は脅威の検出とブロックしかできませんが、XPRのスキャンモジュールは除去を担当します。

現在、XProtectの現行バージョン(v133)に搭載されている23のリメディエーターのうち、14のリメディエーターを確認することができます。主な例としては、以下のようなものがあります:

  • Adload: 2017年以降、macOSユーザーを標的にしているアドウェアおよびバンドルウェアローダー。
  • ColdSnap: 朝鮮民主主義人民共和国(DPRK)発祥とされるリモートアクセス型トロイの木馬(RAT)であるSimpleTeaマルウェアのmacOS版を標的としている可能性が高いです。
  • Crapyrator: 2024年2月に発見された、macOSユーザを大規模に感染させるマルウェアキャンペーン。
  • DubRobber:XCSSETとしても知られる、厄介で多用途なトロイの木馬です。
  • KeySteal: 2021年に初めて観測され、2023年2月にXProtectに追加されたmacOS情報窃取ツール。
  • Pirrit: Pirrit: 2016年に初めて確認されたmacOSのアドウェアで、ポップアップ広告を表示し、プライベートなユーザーブラウザデータを収集することで知られています。

MacでのXProtect へのアクセス

XProtectは、macOSのすべてのバージョンでデフォルトで有効になっており、システムレベルで実行されるため、ユーザーの介入は必要ありません。XProtectのアップデートは自動的に行われます。Mac上でXProtectを見つけるには:

  1. Macintosh HD > Library > Apple > System > Library > CoreServicesに移動します。
  2. XProtectを右クリックし、”パッケージの内容を表示 “を選択します。
  3. Contents “を展開し、”MacOS “を開きます。

XProtectは既知の脅威に対する強力な防御策を提供しますが、ユーザーはXProtectに全面的に依存しないことが重要です。

より高度で巧妙な攻撃は、検出を回避する可能性があります。XProtectをサードパーティのマルウェア検出・除去ツールで補完することが、包括的なセキュリティ戦略のために強く推奨されます。

まとめ

AppleのXProtectスイートは、進化するコンポーネントとYaraルールベースの検出機能を備えており、Macユーザをさまざまなマルウェアの脅威から守る上で重要な役割を果たしています。
XProtectが識別・除去できるマルウェアを理解することで、デバイスの安全性を維持するためにバックグラウンドで不眠不休で働く内蔵セキュリティ機能に対する理解を深めることができます。
XProtectと信頼できるサードパーティツールを組み合わせた多層的なセキュリティアプローチが、日々進化するサイバー脅威の中で保護され続ける最善の方法です。

(Via 9to5Mac.)


LEAVE A REPLY

*
*
* (公開されません)