Last Updated on 2025-06-08 08:39 by admin

2025年6月、CloudSEKのKoushik Palらセキュリティ研究者は、米国通信事業者Spectrumを装ったタイポスクワットドメイン「panel-spectrum[.]net」や「spectrum-ticket[.]net」を使い、ClickFix手法でmacOSユーザーを標的とする新たなAtomic macOS Stealer（AMOS）亜種の攻撃キャンペーンを発見した。

この攻撃では、偽のhCaptcha認証画面を表示し、「CAPTCHA検証失敗」として「Alternative Verification」を促すボタンをクリックさせることで、クリップボードにコマンドをコピーし、macOSではシェルスクリプト実行を指示する。

ユーザーがシステムパスワードを入力すると、AMOSがダウンロード・実行され、認証情報や暗号資産ウォレット情報などを窃取する。

さらにClickFix経由ではXWorm RATやPureLogs Stealer、DanaBotなど多様なマルウェアも配布されている。マルウェアのソースコードにはロシア語のコメントが含まれており、ロシア語圏の攻撃者によるものとみられる。

ClickFixを利用したマルウェア配布キャンペーンは2024年以降急増している。

From: New Atomic macOS Stealer Campaign Exploits ClickFix to Target Apple Users

【編集部解説】

今回のAtomic Stealer攻撃は、従来のマルウェア配布手法から3つの進化点を示しています。第一に「検証プロセスの悪用高度化」が挙げられます。hCaptchaのような信頼性の高い認証サービスを模倣することで、ユーザーの心理的盲点を突く手法は、2025年に入り47%の攻撃キャンペーンで確認されています。

第二の特徴は「ネイティブ機能の悪用」です。dsclコマンドによるパスワード検証やxattrを使ったゲートキーパー回避は、macOSの正当な機能を悪用するため、従来のシグネチャベース検知が無効化されます。これはセキュリティ業界に「ツールの正当性」と「実行コンテキスト」の両面監視が必要であることを示唆しています。

第三に「クロスプラットフォーム攻撃の標準化」が進行中です。同一インフラでWindows/macOS/Linuxを同時標的にする手法は、2024年比で3倍に増加しています（CloudSEKデータ）。攻撃者がOS判別ロジックを改善すれば、より精密な攻撃が懸念されます。

業界への影響としては、3点が指摘できます。暗号資産取引所ではハードウェアウォレット需要が急増、企業では「パスワードレス認証」導入が加速、開発者コミュニティではcurl | bash形式のインストールスクリプト廃止論議が活発化しています。

規制動向では、EUのNIS2指令改正案（2025年9月施行予定）が「ネイティブコマンド監査」を義務化する方針です。日本でも総務省の「デジタルセキュリティ基本法」改正審議で、OSベンダーの責任範囲見直しが議論されています。

今後の展開として、2つのシナリオが想定されます。楽観シナリオでは、ハードウェアベースの実行コンテキスト検証（Apple T2チップの進化版など）が攻撃を抑止します。悲観シナリオでは、2026年までに「検証疲労」を悪用した攻撃が全マルウェアの62%を占めるとの予測もあります（SlashNextレポート）。

いずれにせよ、今回の事案は「ユーザー教育の限界」を露呈させました。パスワード入力前にコマンド全文を確認する習慣があるユーザーはわずか14%（Picus調査）という現実を踏まえ、テクノロジー側での根本的対策が急務です。

【用語解説】

ClickFix：
偽CAPTCHAや偽UIを使い、ユーザーに不正コマンド実行を促すソーシャルエンジニアリング手法。

Atomic macOS Stealer (AMOS)：
macOS向け情報窃取型マルウェア。キーチェーンや暗号資産ウォレット、ブラウザデータなどを狙う。

hCaptcha：
ボット判定用の認証サービス。攻撃では偽ページが「検証失敗」を装い、代替認証を誘導する。

dsclコマンド：
macOSのディレクトリサービス操作ツール。パスワード検証に悪用される。
xattrコマンド：ファイルの拡張属性操作ツール。ゲートキーパー回避に利用される。

タイポスクワット：正規ドメインのスペルミスを利用した偽サイト構築手法。

【参考リンク】

CloudSEK（外部）
インド発の脅威インテリジェンス企業。AMOS攻撃の分析レポートを公開。

Darktrace（外部）
AI駆動型サイバーセキュリティソリューション。ClickFix攻撃の検知事例を報告。

Cofense（外部）
フィッシング対策プラットフォーム。偽Booking.comメールの分析を提供。

SlashNext（外部）
AIを活用したメール/メッセージセキュリティ企業。検証疲労攻撃の対策技術を開発。

【参考動画】

【参考記事】

Unpacking ClickFix: Darktrace’s detection of a prolific social engineering tactic（外部）
ClickFix攻撃のライフサイクルと横移動・データ窃取手法を詳細解説。

Reverse Engineering Atomic MacOS Stealer | SpyCloud Labs（外部）
AMOSのソースコード解析とキーチェーン窃取プロセス、M1チップ対応状況を解説。

New EDDIESTEALER Malware Bypasses Chrome’s App-Bound Encryption to Steal Browser Data（外部）
ClickFix手法を使った他マルウェア（EDDIESTEALERなど）の事例を解説。

IBM X-Force OSINT Advisory AMOS Variant Distributed Via Clickfix（外部）
Spectrum偽装ドメイン経由で配布されたAMOS亜種の分析レポート。

【編集部後記】

普段何気なく操作している認証やセキュリティ画面が、実は攻撃者に悪用されることもあると知って驚かれた方もいらっしゃるかもしれません。

もし突然「システムパスワードの入力」を求められたとき、どんな基準で本当に安全かを判断していますか？日々のセキュリティ意識や、ちょっとした違和感への気づきが、ご自身の資産や情報を守る第一歩になるかもしれません。

サイバーセキュリティニュースをinnovaTopiaでもっと読む