「Mac」を狙うランサムウェアが進化、研究者が注意喚起

　ランサムウェア攻撃は「Windows」OSに限った脅威ではない。「macOS」デバイスもまた、ファイルを暗号化し、復号化ツールの身代金支払いを要求する犯罪の標的となっている。

提供：Getty/GaudiLab

　Microsoft Security Threat Intelligenceチームのサイバーセキュリティ研究者が、Appleベースのコンピューターおよびネットワークを標的とした複数のランサムウェア攻撃について詳細を明かした。その攻撃手法は、MicrosoftのWindowsやその他のOSを狙うサイバー犯罪者が用いるものと非常によく似ている。

　多くの事例において、最初の侵害は、ユーザーがだまされてサイバー犯罪者にアクセスを提供することで発生する。フィッシングメールを開いたり、本物を装ったアプリやトロイの木馬化したアプリをダウンロード・実行したりすることで、ランサムウェアがインストールされるのだ。

　またランサムウェアは、マシンに事前にインストールされた他のマルウェアによって、第2段階のペイロードとしてもたらされることもある。これはマルウェアを仕掛けた同じサイバー犯罪者によって、あるいは感染したマシンへのアクセスを貸し出すアクセスブローカー経由で行なわれる。そのほか、攻撃者がソフトウェアのアップデートを乗っ取って行なうソフトウェアサプライチェーン攻撃の一環としてアップロードされる場合もある。

　ランサムウェアの大半は、Windowsをインフラの基盤にしている組織が多いことからWindowsシステムを標的としているが、Macも無縁ではない。Macに対するランサムウェア攻撃は以前から発生している。しかし、MacOSに対する攻撃の進化は、ランサムウェアが特定のOSだけの脅威ではないことを示すものだと研究者は警告している。

　他のOS上のランサムウェアと同様に、MacOSを標的とするランサムウェアは、永続化して手遅れになるまで検知されないようにするための機能を搭載している。

　このような機能には、攻撃の初期段階での検知を避けるためにマルウェアの実行を遅らせたり、マシンが立ち上がるたびに起動するよう指示したり、MacOSの正規の機能を悪用してコマンドを実行し、攻撃の拡散を支援したりするものがある。

　しかし中には、ファイルを暗号化して身代金を要求する以上の目的を持つとみられるMacランサムウェアもあり、はるかに強力な機能を備えるとの分析結果が出ている。

　ランサムウェア「EvilQuest」は2020年に初めて出現し、現在もMacシステムを標的としている。

　Microsoftによると、EvilQuestの新たなバージョンは、キーロギングなどの機能を追加しているという。キーロギングは、感染したマシンのユーザーがキーボードで入力した内容の記録を攻撃者に送り、ユーザー名やパスワードをひそかに盗み取れるようにするものだ。

　加えてEvilQuestは、セキュリティソフトウェアを無効化する機能も備えている。最終的な攻撃が開始される前にランサムウェアが発見される可能性を減らす手法だ。

　そのほかにMicrosoftが挙げた「KeRanger」「FileCoder」「MacRansom」などのMacランサムウェアは、いずれもユーザーやサイバーセキュリティチームが手動で発見することを困難にする手法を用いているという。