2022年のMacセキュリティにおける最大の変化は、/Library/Apple/System/Library/CoreServicesにあるXProtectアプリに、MRTに代わる新しいマルウェア検出・除去ツール群が導入され、XProtect Remediatorと区別されたことでした

Appleのセキュリティツールの多くがそうであるように、このツールはサイレントモードで動作し、定期的なスキャンやその結果を直接ユーザーに知らせることはありません

macOS Venturaを使用している場合、XProtect Remediatorのスキャンを確認する方法は2つあります

• Catalina to Montereyでも利用できるUnifiedログ内のエントリ
• アプリケーションがシステムイベントを監視し、悪意のある活動の可能性を確認できるmacOS 10.15で導入されたAPI、Endpoint Securityを使用する方法

以前のバージョンのmacOSでは、悪意のある可能性のあるイベントを豊富にサポートしており、Objective-SeeのBlockBlockやさまざまな商用製品など、すでにいくつかのサードパーティ製のセキュリティ製品がこれらを監視しています

macOS Venturaで導入されたEndpoint Securityの追加機能の中には、es_event_xp_malware_detected_tとes_event_xp_malware_remediated_tという2つの構造体があり、XProtect Remediatorによる既知のマルウェアの検出と修復に関する情報を含んでいます

これらはまだセキュリティ製品で使用されていないようですが、Appleのドキュメントでは、ログ内のエントリとは異なり、スキャンでマルウェアが検出または修復された場合にのみ生成されることを示唆しています

Appleはユーザー向けに独自のEndpoint Securityユーティリティを提供していいませんが、イベントを標準出力または eslogger の統合ログに記録するコマンド ツールを提供しています

これはアプリケーションで使用されることを意図しておらず、適切なEndpoint Securityアプリケーションの機能を提供するものでもありませんが、ユーザーはAPIのイベントにアクセスすることができます

esloggerは現在 82種類のイベントをサポートしており、以下のコマンドでリストアップできます

eslogger–list-events
その中には、API の XProtect Remediator イベントに対応する xp_malware_detected と xp_malware_remediate の 2 つがあります。 これらは、次のようなコマンドを使用してテキスト ファイルにキャプチャできます

sudo eslogger xp_malware_detected xp_malware_remediated >>eslogout.txt
man eslogger は、その親プロセスが、[システム設定] >[プライバシーとセキュリティ]でフルディスクアクセスを許可する必要があることを指摘していてくれます

XProtect Remediatorのスキャンを監視する手段として、これは有用性が限られており、スキャンはユーザーが活動していない時間帯 (多くの場合深夜) に実行される傾向があります

現在、ここでの毎日のスキャンは午前0時以降の時間に行われており、レポートが他の場所よりもログに保存される方が便利です

XProtect Remediatorアクティビティをチェックする3つのユーティリティをThe Eclectic Light Companyは提供しています

• SilentKnightは、過去24時間のスキャンレポートを定期的にチェックし、報告されたスキャンの数、疑わしい可能性のあるスキャン (否定的ではない) があるかどうかを示します



• Mintsは、ボタン1つで過去24時間のスキャン・レポートの一覧を確認できます。
• XProCheck は、30日前までのログ記録を検査し (利用可能な場合)、検出されたすべてのレポートの完全なリストを提供します

少なくとも現時点では、XProtect Remediatorのログエントリは、Endpoint Securityを通じて報告されるイベントよりもかなり有益なものです

(Via The Eclectic Light Company.)