アメリカのセキュリティ企業「Jamf Threat Labs」は、アップルがMac向けに導入した新たなセキュリティ機能を回避するマルウェアの手法がすでに確認されていると報告しました。サイバー攻撃者は、ターミナル機能の代わりにスクリプトエディタを悪用して、悪意のあるプログラムを実行させるということです。
アップルは、オペレーティングシステム「macOS Tahoe 26.4」において、ユーザーがターミナルに潜在的に危険なコマンドを貼り付けようとした際に警告を表示する新たなセキュリティ機能を導入しました。これは、ユーザーをだまして悪意のあるコードを実行させる「ClickFix」と呼ばれる攻撃手法を防ぐための対策としています。
しかし、Jamf Threat Labsの最新の調査によりますと、マルウェアの開発者たちはすでにこの警告機能を回避する新たな手法を展開しているということです。
「ClickFix」は、マルウェアそのものではなく、ユーザーの心理的な隙を突くソーシャルエンジニアリングを利用した配信手法です。2025年にリリースされた「macOS Sequoia」以降、アップルが未承認のソフトウェアの実行手順を厳格化したことで、従来の偽のインストーラーに代わってこの手法が急増したとされています。
新たに確認された手口では、ユーザーにターミナルへのコマンド入力を促す代わりに、「Macのディスク容量を確保する」と偽ったアップル風のウェブページに誘導します。ページ上の「実行」ボタンをクリックすると、ブラウザ経由で特定のURLスキームが起動し、あらかじめ悪意のあるスクリプトが入力された状態でMacの「スクリプトエディタ」が開かれる仕組みとなっています。
この手法ではターミナルを経由しないため、アップルが新たに導入した貼り付け時の警告機能は作動しないということです。「macOS Tahoe 26.4」のスクリプトエディタは「開発元が未確認」という独自の警告を出しますが、ユーザーがこれを無視して操作を進めると、スクリプトが実行され、「Atomic Stealer」などの情報窃取型マルウェアがMacにダウンロードされるとしています。
セキュリティ専門家は、アップルによる保護機能の強化と、それをかいくぐろうとするマルウェア開発者との間で、終わりのないいたちごっこが続いていると指摘しています。