Apple、MacOS上で動作するマルウェアを誤って承認

今週、セキュリティリサーチャーのPatrick Wardleは、AppleがmacOSのマルウェアの一部を「公証」してしまい、最近のMacでも問題なく実行できるようにしてしまったという証拠を提供した。

Apple、MacOS上で動作するマルウェアを誤って承認

今週、セキュリティリサーチャーのPatrick Wardleは、AppleがmacOSのマルウェアの一部を「公証」(Notarization)してしまい、最近のMacでも問題なく実行できるようにしてしまったという証拠を提供した。

Appleの公証の要件は、開発者がMac App Store外で配布されたアプリがマルウェアフリーであったことをユーザーに安心させるための方法で、2018年に開始されたものだ。

公証は、Developer IDで署名されたソフトウェアが悪意のあるコンポーネントを含んでいないかどうかがAppleによってチェックされているという安心感をユーザーに与えてくれるもののはずだった。

Wardleが識別した問題は、Appleが何らかの形でOSX.Shlayerマルウェアを含む悪意のあるアドウェア「Shlayer」の配布を公式に認めたということだった。

今回の事案では、ユビキタスなアドウェア「Shlayer」が配布されており、近年では10台に1台のmacOSデバイスに影響を与えていると言われている。マルウェアは、検索結果に広告を注入するような標準的なアドウェアの動作をする。特に過去のバージョンと事実上同じであることを考えると、ShlayerがどのようにしてAppleの自動スキャンとチェックをすり抜けて公証されたのかは明らかではない。

大学生のPeter Dantiniは、人気のあるオープンソースのMac用開発ツール「Homebrew」のホームページを閲覧中に、公証版の「Shlayer」を発見した。ダンティーニは、正しいURLである brew.sh とは少し違うものを誤って入力した。彼が辿り着いたページは、何度も偽の Adobe Flash アップデートページにリダイレクトされていました。どんなマルウェアが見つかるのか興味津々で、Dantiniはわざとダウンロードしてみた。驚いたことに、macOSはインターネットからダウンロードしたプログラムについての標準的な警告をポップアップしたが、プログラムの実行をブロックすることはなかったという。Dantiniはそれが公証されていることを確認すると、長年macOSのセキュリティ研究をしているWardleとともに情報を送った。

Wardleは8月28日に不正なソフトウェアについてAppleに通知し、同社は同日にShlayerの公証証明書を失効させ、インストールされた場所や今後のダウンロードのためにマルウェアを駆除した。しかし、8月30日、Wardleは、アドウェアのキャンペーンがまだ活発に行われており、同じShlayerのダウンロードを配布していることに気づいた。これは、Appleが元の証明書の取り消し作業を開始してからわずか数時間後に、異なるApple Developer IDを使用して公証されたものだった。8月30日、Wardleはこれらの新しいバージョンについてAppleに通知した。

Appleが公証を導入する前は、マルウェアの開発者はApple Developer IDを年間99ドル支払うだけで、ソフトウェアに正規のものとして署名することができた。Mac App Storeからダウンロードされていないアプリケーションは、ユーザーが実行しようとすると、インターネットからダウンロードしたプログラムが安全に使用できることを確認するための警告が表示されていたが、ユーザーは簡単にそれらをクリックして実行することができた。公証することで、マルウェアを展開することがはるかに困難になる。

Wardleによると、自身のセキュリティ・ツールを審査に提出した経験から、Appleの最初の自動チェックでは、承認が発行されるまでに数分しかかからないという。それでも、悪い行為者は明らかにすり抜けている。

任意の信頼ベースのシステムと同様に、公証は、Appleがかなりタイトなセキュリティを維持するのに役立ちます。しかし、過去にこっそりしていない何かは、それが会社の刻印を持っているので、その後すぐに普及することができる。これは、AppleのiOS App StoreとGoogleのPlay Storeの両方で、審査済みのAndroidアプリのためにすでに問題となっている。悪意のあるアプリは、しばしば滑り込み、その後、疑っていないユーザーによってダウンロードされてしまう。

Photo: "Apple Store Logo"by Jorge Quinteros is licensed under CC BY-NC-ND 2.0

Read more

AI時代のエッジ戦略 - Fastly プロダクト責任者コンプトンが展望を語る

AI時代のエッジ戦略 - Fastly プロダクト責任者コンプトンが展望を語る

Fastlyは、LLMのAPI応答をキャッシュすることで、コスト削減と高速化を実現する「Fastly AI Accelerator」の提供を開始した。キップ・コンプトン最高プロダクト責任者(CPO)は、類似した質問への応答を再利用し、効率的な処理を可能にすると説明した。さらに、コンプトンは、エッジコンピューティングの利点を活かしたパーソナライズや、エッジにおけるGPUの経済性、セキュリティへの取り組みなど、FastlyのAI戦略について語った。

By 吉田拓史
宮崎市が実践するゼロトラスト:Google Cloud 採用で災害対応を強化し、市民サービス向上へ

宮崎市が実践するゼロトラスト:Google Cloud 採用で災害対応を強化し、市民サービス向上へ

Google Cloudは10月8日、「自治体におけるゼロトラスト セキュリティ 実現に向けて」と題した記者説明会を開催し、自治体向けにゼロトラストセキュリティ導入を支援するプログラムを発表した。宮崎市の事例では、Google WorkspaceやChrome Enterprise Premiumなどを導入し、災害時の情報共有の効率化などに成功したようだ。

By 吉田拓史