Jamf Threat Labsは、macOSのセキュリティにおいてAppleの公証を受けたマルウェアの増加問題を指摘する研究結果を発表しました。この新たなバリアントは、正規の開発者IDでコード署名され、Appleによって公証された悪意のあるアプリ内で配布されました。これにより、Gatekeeperは起動を妨げる理由がなくなりました。
Appleのモデルはこれまでうまく機能してきました。Mac App Store以外で配布されるアプリは、暗号的に署名され、公証される必要があります。しかし、署名が善意を証明するという信頼モデルに基づいています。現在では、攻撃者が実際の開発者証明書を取得し、インストール時に正規のソフトウェアと見分けがつかないマルウェアを配布しています。
攻撃者がこれを達成する方法はいくつかあります。多くの場合、開発者ID証明書が不正に使用されたり、地下ルートで購入されたりすることで、署名され公証された悪意のあるアプリが疑念を持たれずに動作しています。Jamfの報告によれば、新しいMacSync Stealerバリアントの初期バイナリは、Appleの静的解析では無害に見えるシンプルなSwiftベースの実行ファイルです。
本当の悪意のある動作は、アプリがリモートインフラストラクチャに接続して追加のペイロードを取得する際に発生します。これらのペイロードが公証時には存在せず、実際の実行時条件でのみ有効になる場合、Appleのスキャナーは悪意を分析することができません。公証プロセスは提出時の状態を評価しますが、起動後にアプリが取得するものについては評価しません。攻撃者はこの境界を意識して設計しています。
Apple公証マルウェアの最初の事例は、少なくとも2020年にTwitterユーザーによって発見されました。今年7月にも、Appleによって署名され公証された同様の悪意のあるアプリケーションがありました。しかし、これは危機的状況に達しているのでしょうか。おそらく違います。一方で、これが一度でも起こることは多すぎると考えます。
一方で、これをAppleの責任にするのは簡単すぎるとも思います。システムは大部分が設計通りに機能しています。コード署名と公証は、ソフトウェアが永遠に無害であることを保証するものではなく、実際の開発者に遡ることができ、悪用が発見された際に取り消されることを意図しています。
この攻撃ベクトルは興味深く、2026年に向けて追跡を続けます。最終的には、信頼できる開発者やMac App Storeから直接ソフトウェアをダウンロードすることが、マルウェアに対する最善の防御策です。