2025年5月中旬、セキュリティ研究者によって新たなmacOS向け情報窃取型マルウェア「AppleProcessHub」が発見されました。このマルウェアは、macOSの内部構造を巧妙に悪用し、開発者や企業ユーザーの機密情報を標的としています。特にSSHキーやKeychainデータなど、開発環境における重要な情報を狙っており、個人だけでなく組織全体へのリスクを高めています。
技術的概要と感染の流れ
AppleProcessHubは、libsystd.dylibという名称のMach-Oバイナリファイルとして発見されました。
このファイルは拡張子からは動的ライブラリを装っていますが、実際にはx86_64アーキテクチャ向けにコンパイルされた実行可能ファイルであり、Objective-Cで記述されています。このバイナリは、AppleのGrand Central Dispatch(GCD)を利用して非同期に悪意のあるペイロードをダウンロードし実行します。
初期のバイナリは、AES-128(ECBモード)で暗号化されたBase64エンコード文字列を含んでおり、これを復号することでC2(コマンド&コントロール)サーバーのURLを動的に構築します。
このC2サーバー(例:appleprocesshub[.]com)からは、第二段階のbashスクリプトがダウンロードされ、実行されます。このスクリプトは、以下のような機密情報を収集し、攻撃者のサーバーへ送信します
-
.bash_historyおよび.zsh_historyファイル -
GitHubの設定ファイル(
gitconfig) -
SSHキーおよび設定ファイル(
.sshディレクトリ内) -
macOSのKeychainデータベース(
Login.keychain-db) -
/etc/hostsファイル
これらの情報には、認証トークン、シェルコマンドの履歴、内部ネットワークのIPアドレスやホスト名、ドメイン名などが含まれており、攻撃者が組織内部へのさらなる侵入を試みる足がかりとなります。
回避技術と分析の困難性
AppleProcessHubは、macOSのSystem Integrity Protection(SIP)を回避するために、ユーザースペースで動作します。これにより、カーネルレベルの保護を回避し、システムAPIへのフックやクリップボードの監視などが可能となります。また、Objective-Cの間接的なメソッド呼び出しや、暗号化された文字列の使用により、静的解析を困難にしています。これらの特徴は、攻撃者がmacOSの内部構造に精通しており、高度な技術力を有していることを示唆しています
セキュリティへの影響と対策
AppleProcessHubの出現は、macOSが従来考えられていたほど安全ではないことを示しています。特に開発者や企業ユーザーは、SSHキーやKeychainデータなどの機密情報を狙われるリスクが高まっています。このような情報が漏洩すると、個人の被害にとどまらず、組織全体のセキュリティにも深刻な影響を及ぼす可能性があります。
推奨される対策:
-
信頼できるソースからのみソフトウェアをダウンロードし、インストールする。
-
macOSのGatekeeperやXProtectなどのセキュリティ機能を有効に保つ。
-
定期的にシステムとアプリケーションを最新の状態に更新する。
-
不審なプロセスやファイルの存在を確認し、必要に応じて削除する。
-
セキュリティソフトウェアを導入し、リアルタイムでの脅威検出と防御を強化する。
関連記事
Proofpointの設定が悪用され何百万通のフィッシングメールが送信される
Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)
スポーツに関連するオフィシャルグッズを販売する「GAORAオンラインショップ」サイバー攻撃で約1万6千件の個人情報漏洩の可能性
Steamから約8,900万件の情報漏洩した疑惑を運営のValveが否定
MathWorks、ランサムウェアによるシステム障害が発生、中央大学でもリリースを発表
GitHubの非公開リポジトリがMicrosoftのAIアシスタント「Copilot」により無断公開
CISA、Oracle Cloudへのサイバー攻撃(不正アクセス)による潜在的な情報漏洩について警告
コナカ、オーダースーツ アプリへの不正アクセスによるサイバー攻撃で15万人超の個人情報が漏洩の可能性
銀座や渋谷 大阪で偽基地局からフィッシング詐欺 SMSを送信するキャンペーンを確認、IMSIキャッチャーか
