Macユーザー必見!あなたのMacは本当に安全ですか? XProtectがどのようにマルウェアを検出・排除するか
XProtectの紹介と進化
2009年以来macOSの重要なコンポーネントであるXProtectは、macOS X 10.6 Snow Leopardの発売とともに始まりました。
当初、XProtectの目的は、インストール中のファイルにマルウェアが含まれている可能性があることをユーザーに警告するというシンプルなものでした。
しかし、脅威の状況が進化するにつれ、XProtectも進化しました。XProtectは、Appleのプラットフォーム上でますます蔓延するマルウェアに対抗するために設計された包括的なスイートへと拡大しmacOS Catalina以降を実行しているMacで利用できます。
XProtectの仕組み
XProtectの機能の中核は、YARAルールの使用にあります。YARAルールは、コードのパターン認識を通じてマルウェアを特定する効果的な手法として、セキュリティコミュニティから支持されています。
Appleは、定期的なセキュリティアップデートにより、この検出機能を継続的に強化しており、XProtectがマルウェアの脅威に対する強固な防御ラインであり続けることを保証しています。
XProtect のコンポーネント
macOS 14 Sonomaの時点で、XProtectには3つの主要コンポーネントがあります:
- XProtect : アプリの起動、変更、シグネチャの更新時にYARAルールベースのスキャンを有効にします。
- XProtectRemediator(XPR) : XPRは、システムアクティビティが低いときに動作し、マルウェアスキャン実行時のCPUへの影響を最小限に抑えます。
- XProtectBehaviorService(XBS) : 最新のmacOSバージョンで導入されたXBSは、重要なリソースとシステムの相互作用を監視し、潜在的な脅威の行動分析を支援します。
その複雑さにもかかわらず、XPRの内部メカニズムの多くは曖昧なままです。しかし、Aldenのような研究者は、XProtectがターゲットとする特定のマルウェア ファミリに関する洞察を提供することで、これらの要素の解明を進めています。
XProtectの場所と理解
XProtectは、すべてのmacOSバージョンにシームレスに統合されており、バックグラウンドで自動的に機能します。XProtectの内部動作に興味のあるユーザーは、Macintosh HD内のXProtectファイルに移動することができます:
- [Machintosh HD] > [ライブラリ] > [Apple] > [System] > [Library] > [CoreServices] に移動します。
- [XProtect.app]を右クリックして修復を見つけることができます。
- 次に、「パッケージの内容を表示」をクリックします。
- [Contents] > [MacOS]を開きます。
XProtectRemediatorがターゲットとするマルウェア
最近の研究者と組織の共同作業により、XProtectが対処できるマルウェアの種類が明らかになってきました。
例えば、永続的なアドウェアである Adload や、Trojan-Proxy キャンペーンにリンクされた欺瞞的なアプリケーションである BlueTop は、XProtectRemediator が対処する数多くの脅威のほんの一例です。
XProtectのアップデートのインストールを確認する
XProtectのアップデートのインストールは、デフォルトで自動インストールになっています
自動でインストールされるには[システム設定]>[一般]>[ソフトウェアアップデート]で[自動アップデート]横の[i]ボタンをクリックし[セキュリティ対応とシステムファイルをインストール」が有効になっている必要があります
おおよそ、1ヶ月に2回アップデートされているようです、今年に入っては、1月8日、1月16日、1月31日、2月20日で直近は3月12日です。
アップデートが何時行われたかを確認する方法
このアップデートがインストールされているかどうかを確認するには、[マーク]>[このMacについて]から[システム情報]を開き、[ソフトウェア]の下の[インストール]項目を選択します
表示されれば、ソートを「インストール日」の新しい順にし「XProtectPlistConfigDat」をインストール日を確認しますバージョンが2189になっていれば最新版にアップデートされています。
Mac が最新かどうかを自動的に確認し、アップデートをインストールできる「SilentKnight」
「SilentKnight」は、ファームウェア、セキュリティ設定、データファイルのほか、macOSのマルウェアスキャンもチェックできます。
Eclectic Light Companyが提供する、Catalina から Sonomaをサポートする最新の「SilentKnightバージョン 2.7」は、ここから入手できます
まとめ
XProtectは、その洗練された検出と修復機能により、ユーザーのセキュリティに対するAppleの献身の証となっています
。
(Via 9to5Mac.)
LEAVE A REPLY