サイバー犯罪グループ「COOKIE SPIDER」が開発したMac向け情報窃取マルウェア「Shamos」が、ClickFix攻撃によってユーザーを標的にしている。
このマルウェアはAtomic macOS Stealer(AMOS)の亜種で、ウェブブラウザ、Keychainアイテム、Apple Notes、暗号通貨ウォレットのデータを窃取する。CrowdStrikeによると、2025年6月以降、同社が監視する世界中の300を超える環境に対して感染を試みている。攻撃者はマルバタイジングや偽のGitHubリポジトリを使用し、mac-safer[.]comやrescue-mac[.]comなどの偽サイトでmacOS問題の修復を装ってユーザーにターミナルコマンドの実行を促す。
実行されるとBase64エンコードURLをデコードしてリモートサーバーからBashスクリプトを取得し、ユーザーパスワードを収集してShamosのmach-O実行ファイルをダウンロードする。
マルウェアはxattrとchmodを使用してGatekeeperをバイパスし、収集したデータをout.zipにパッケージ化してcurlで送信する。
From: 
Fake Mac fixes trick users into installing new Shamos infostealer
【編集部解説】
今回のShamosマルウェアによる攻撃は、macOSユーザーを狙った情報窃取の新たな進化形として注目すべき事案です。この攻撃が示す重要な転換点について解説します。
macOS向け脅威の深刻化
従来、macOSはWindowsと比較してマルウェアの標的になりにくいとされてきましたが、近年この認識は大きく変わりつつあります。Palo Alto Networks Unit 42の分析によれば、2024年の最後の2四半期でmacOS情報窃取マルウェアが101%増加し、Atomic Stealer、Poseidon Stealer、Cthulhu Stealerが主要な脅威として特定されています。Shamosはこの流れの中で登場した最新の脅威であり、Apple製品の市場シェア拡大と共にサイバー犯罪者の関心も高まっていることを示しています。
ClickFix攻撃の巧妙な進化
今回の攻撃で注目すべきは、ClickFix手法の洗練度です。従来のマルウェア配布が技術的な脆弱性を突くものだったのに対し、ClickFix攻撃は人間の心理的な弱点を巧妙に突きます。偽のトラブルシューティングページやGitHubリポジトリを使い、ユーザー自身にターミナルコマンドを実行させるという手法は、Apple独自のセキュリティ機構であるGatekeeperを完全にバイパスする点で非常に効果的です。
技術的回避手段の高度化
Shamosの技術的な特徴として、xattrによる検疫フラグの除去とchmodによる実行権限付与は、macOSのセキュリティアーキテクチャを深く理解した攻撃者の存在を示唆しています。さらに、アンチVM機能による解析環境の検知や、AppleScriptを使った情報収集など、macOSの機能を悪用する高度な技術が組み込まれています。
暗号通貨エコシステムへの影響
特に深刻なのは、暗号通貨ウォレットを標的とした攻撃の増加です。Shamosは偽のLedger Liveアプリを配布するケースも確認されており、暗号通貨の普及と共にこうした攻撃が拡大する可能性があります。暗号通貨取引の不可逆性を考慮すると、被害の回復は極めて困難です。
サービス化されるマルウェア運用
COOKIE SPIDERがShamosをマルウェア・アズ・ア・サービス(MaaS)として提供している点も重要です。これにより技術的知識の乏しい犯罪者でも高度な攻撃を実行できるようになり、脅威の裾野が大幅に拡大しています。
企業セキュリティへの長期的影響
CrowdStrikeが300を超える環境での攻撃試行を確認したことは、個人ユーザーだけでなく企業環境も標的となっていることを示しています。特にBYOD(Bring Your Own Device)環境において、従業員の個人用Macが感染した場合、企業ネットワークへの侵入経路となる可能性があります。
このShamosの事案は、macOSの安全神話の終焉とも言える転換点を示しており、Apple製品ユーザーも従来以上にセキュリティ意識を高める必要があることを明確に示しています。
【用語解説】
ClickFix攻撃:ユーザーに偽のトラブルシューティング手順を提示し、悪意のあるコマンドやスクリプトを自発的に実行させる攻撃手法。従来の脆弱性を突く攻撃と異なり、人間の心理的な弱点を悪用する。
情報窃取マルウェア(Infostealer):ユーザーの個人情報、認証情報、暗号通貨ウォレット、ブラウザ保存データなどを盗み出すことを目的としたマルウェア。窃取したデータは闇市場で売買される。
Gatekeeper:macOSの標準セキュリティ機能で、未署名または信頼できない開発者からのソフトウェアの実行を制限する。App Store外からダウンロードしたアプリの実行時に警告を表示する。
Base64エンコード:バイナリデータを64種類のASCII文字で表現するエンコード方式。マルウェアがURLやコマンドを隠蔽するために頻繁に使用される。
mach-O:macOSで使用される実行ファイル形式。Windowsの.exeファイルに相当し、アプリケーションや動的ライブラリの標準フォーマットとして使用される。
Keychain:macOSの標準パスワード管理システム。ウェブサイトのログイン情報、Wi-Fiパスワード、証明書などを暗号化して保存する。
xattr:macOSのファイル属性を管理するコマンドラインツール。検疫フラグの削除により、Gatekeeperの保護を回避する目的で悪用される。
Plistファイル:Property List fileの略で、macOSでアプリケーションの設定や自動実行の設定を保存するXML形式のファイル。
【参考リンク】
CrowdStrike(外部)
AI駆動のサイバーセキュリティプラットフォームを提供する企業。Falcon EDRで知られ、今回Shamosマルウェアを検出・分析した。
Palo Alto Networks Unit 42(外部)
サイバー脅威インテリジェンスとインシデント対応を専門とする研究チーム。2024年最後の2四半期でmacOS情報窃取マルウェアが101%増加したと報告。
【参考記事】
Unit 42 Palo Alto Networks – Stealers on the Rise: A Closer Look at a Growing macOS Threat(外部)
2024年の最後の2四半期でmacOS情報窃取マルウェアが101%増加したことを報告。Atomic Stealer、Poseidon Stealer、Cthulhu Stealerの3つの主要な脅威の技術的詳細と攻撃手法を詳細に解説している。
Security Affairs – Over 300 entities hit by a variant of Atomic macOS Stealer in recent campaign(外部)
CrowdStrikeが確認したShamosマルウェアによる300以上の組織への攻撃について報告。COOKIE SPIDERグループの活動とマルウェア・アズ・ア・サービス(MaaS)としての運用実態を詳述。
The Hacker News – New Atomic macOS Stealer Campaign Exploits ClickFix to Target Mac Users(外部)
ClickFix攻撃手法を使ったAtomic macOS Stealerの新たなキャンペーンについて詳細分析。偽のCAPTCHAやトラブルシューティングページを使った攻撃手法の進化を解説している。
SC Media – Infostealers targeting macOS jumped by 101% in second half of 2024(外部)
Palo Alto Networks Unit 42の調査結果を引用し、2024年後半のmacOS情報窃取マルウェアの101%増加について詳細報告。業界専門家のコメントとmacOSセキュリティ対策の必要性を強調。
【編集部後記】
今回のShamosマルウェアの事案は、私たちMacユーザーにとって重要な転換点かもしれません。「Macは安全」という従来の常識が変わりつつある中で、皆さんはどのようなセキュリティ対策を実践されているでしょうか?
特に興味深いのは、今回の攻撃がターミナルコマンドの実行を促すClickFix手法を使っている点です。技術に詳しい方でも、急いでいるときや困っているときには、つい指示通りにコマンドを実行してしまう可能性があります。皆さんは、オンラインで見つけたトラブルシューティング手順をどこまで信頼し、どのような基準で判断されますか?
また、暗号通貨ウォレットや重要なデータを保存している方は、今回のような攻撃にどう備えるべきかも気になるところです。innovaTopia読者の皆さんのセキュリティ意識や対策について、ぜひお聞かせください。
