Mac狙うマルウェア「Coldroot」、2年前から活動--研究者が報告

　Macを標的とし、2年前から活動を続けているトロイの木馬について、Digita Securityの最高調査責任者（CRO）であるPatrick Wardle氏が同社のブログに記事を投稿した。このマルウェアは、ユーザーに悟られることなく、感染したコンピュータを遠隔地から制御したり、ユーザーのキーチェーンからパスワードを盗み出す機能を有しており、ソースコードがダウンロード可能な状態になっていたにもかかわらず、ほとんどのウイルス対策ソフトウェアメーカーに発見されなかったものだ。

　Wardle氏はブログで、このリモートアクセス型のトロイの木馬「Coldroot」に関する詳細を解説している。

　この種のマルウェアはシステムにインストールされ、攻撃者がシステムに対する完全な制御を遠隔地から必要に応じていつでも取得できるよう、OSの中核部分にアクセスする。これはまるで、攻撃者自身がコンピュータのそばで待ち伏せしているようなものだ。

　しかしWardle氏が分析したところ、Coldrootは2016年に公開されていたにもかかわらず、同氏が分析した時点では、オンライン上のマルウェア検知ツール「VirusTotal」に掲載されているウイルス対策ソフトウェアのいずれも同マルウェアを検出できなかったという。

　Wardle氏はこのマルウェアが「とりたてて洗練されたものではない」と述べたうえで、「とは言うものの『機能一式はそろっている』」と続けている。

　Wardle氏によると、このマルウェアが活動を開始すると、パスワードの記録や窃盗のほか、ファイル一覧の取得、ファイルのリネームや削除、ドキュメントのダウンロードやアップロード、遠隔地からのデスクトップのリアルタイムでの閲覧、システムのシャットダウンが可能になるという。

　このマルウェアはドキュメントの体裁をとっており、オープンされた際にはユーザーに対してパスワードの入力を促す。疑うことを知らないユーザーが自らの認証情報を入力してしまった場合、同マルウェアは秘密裏に自らをインストールした後、C&Cサーバに接続し、攻撃者からの指示を待つようになっている。

　しかし、悪意のある行為を実行に移すにはシステムのより広範囲なアクセス権を得なければならないため、同マルウェアはMacのアクセシビリティ機能を利用する必要がある。そのためには、ユーザーが手作業でシステム環境設定内のリストに同マルウェアを登録しなければならないが、そういったことは誰もやってくれないはずだ。

　このため、同マルウェアは「macOS」のプライバシーデータベースを改変し、システムとつながりのあるシステムコンポーネントとやり取りできるようにする。いったんマルウェアがシステムに侵入すれば、感染したシステムは再起動のたびにシステムの完全なアクセス権を同マルウェアに引き渡すようになる。

　Appleは「macOS Sierra」でこのマルウェアに対処している。

　Wardle氏はMac用セキュリティツールを無償でダウンロード提供しており、この種の攻撃への対策に役立つとしている。

　同氏は米ZDNetに対し、ウイルス対策を手掛ける各社には連絡済みだと述べた。