日本時間の2024年5月6日に
9TO5MACに出た、アリン・ワイチュリスさんの記事を抜粋しました。
※画像は9TO5MACから引用しました。
1.サードパーティのソフトウェアの助けを借りずに、macOSが検出して削除できる仕組みはあるのでしょうか?
- Appleは、Macの組み込みXProtectスイートに新しいマルウェア検出ルールを継続的に追加し、XProtectはmacOS X 10.6 Snow Leopardの一部として2009年に導入された
- 当初は、インストールファイルにマルウェアが発見された場合にユーザーに警告するためにリリースされた
- しかし、XProtectは最近大きく進化し、より有能なネイティブマルウェア対策コンポーネントであるXProtectRemediator(XPR)の出現を促した
- XProtectスイートは、Yaraシグネチャベースの検出を利用してマルウェアを識別する
- macOS 14 Sonomaの時点で、XProtectスイートは3つの主要なコンポーネントで構成されている
2.macOSはどのようなマルウェアを削除できますか?
XProtectアプリ自体は脅威を検出してブロックすることしかできないが、削除のためのXPRのスキャンモジュールにかかっている。現在のバージョンのXPR(v133)で23の修復者のうち14を特定し、マルウェアをマシンから遠ざけることができる。
- XProtectRemdiator v133の23のスキャンモジュール
- アドロード:2017年以降、macOSユーザーをターゲットにしたアドウェアとバンドルウェアローダー。Adloadは、先月のXProtectのメジャーアップデートの前に検出を回避することができ、マルウェアを対象とした74の新しいYara検出ルールが追加された
- BadGacha:まだ特定されていない
- BlueTop:BlueTopは、2023年後半にカスペルスキーがカバーしたトロイの木馬プロキシキャンペーンと思われる
- CardboardCutout: まだ特定されていない
- ColdSnap:ColdSnapは、SimpleTeaマルウェアのmacOSバージョンを探している可能性が高く、これは3CXの侵害にも関連しており、LinuxとWindowsの両方のバリアントと特性を共有している
- SimpleTea(Linux上のSimplexTea)は、朝鮮民主主義人民共和国に由来すると考えられているリモートアクセストロイの木馬(RAT)である
- Crapyrator: CrapyratorはmacOS.Bkdr.Activatorとして識別されました。これは2024年2月に発見されたマルウェアキャンペーンであり、「macOSボットネットを作成したり、他のマルウェアを大規模に配信したりする目的で、macOSユーザーに大規模に感染する可能性がある」とセンチネル・ワンのフィル・ストークスは述べている
- DubRobber: XCSSETとしても知られる厄介で汎用性の高いトロイの木馬ドロッパー
- Eicar: 有害でなくウイルス対策スキャナをトリガーするように意図的に設計された無害なファイル
- フロッピーフリッパー:まだ特定されていない
- Genieo:非常に一般的に文書化された潜在的に望ましくないプログラム(PUP)でd、独自のウィキペディアのページさえ持っている
- GreenAcre: まだ特定されていない
- KeySteal:KeyStealは、2021年に最初に観察され、2023年2月にXProtectに追加されたmacOSインフォステアラーである
- MRTv3:これは、その前身であるマルウェア除去ツール(MRT)からXProtectに組み込まれたマルウェア検出および削除コンポーネントのコレクションである
- Pirrit: Pirritは、2016年に初めて浮上したmacOSアドウェアで、ポップアップ広告をウェブページに注入し、プライベートユーザーのブラウザデータを収集し、さらには検索ランキングを操作してユーザーを悪意のあるページにリダイレクトする
- RankStank:3CXインシデントで見つかった悪意のある実行可能ファイルへのパスが含まれているため、より明白なルールの1つで、3CXは、ラザラスグループに起因するサプライチェーン攻撃だった
- RedPine:信頼性が低いと、AldenはRedPineがOperation TriangulationからのTriangleDBに対応している可能性が高い
- RoachFlight: まだ特定されていない
- SheepSwap: まだ特定されていない
- ShowBeagle: まだ特定されていない
- SnowDrift:CloudMensis macOSスパイウェアとして識別される
- ToyDrop: まだ特定されていない
- Trovi: Pirritと同様に、Troviは別のクロスプラットフォームのブラウザハイジャッカーです。検索結果をリダイレクトし、閲覧履歴を追跡し、独自の広告を検索に注入することが知られている
- WaterNet: まだ特定されていない
3.XProtectはどこにある?
- XProtectは、すべてのバージョンのmacOSでデフォルトで有効になっている
- また、システムレベルで完全にバックグラウンドで実行されるため、特段の操作は必要ない
- XProtectの更新も自動的に行われ、それがある場所は次のとおり
- Macintosh HD>ライブラリ>アップル>システム>ライブラリ>コアサービス
4.注意
- ユーザーは、AppleのXProtectスイートに完全に頼るべきではない
- より高度または高度な攻撃は、XProtectでの検出を簡単に回避できる
- サードパーティのマルウェア検出および削除ツールの使用を強くお勧めする
興味のある方は、元記事をご覧ください。
