Appleの公証を受けたマルウェアによるアドウェアキャンペーンが発生
AppleはDeveloper IDで署名されたMac用ソフトウェアに対する「公証」の仕組みを用意しているが、この公証を受けたマルウェアによるアドウェアキャンペーンが確認されたそうだ(Objective See's Blogの記事、 Malwarebytes Labsの記事、 WIREDの記事、 The Vergeの記事)。
公証は審査ではなく、Appleが提出を受けたソフトウェアを自動的にスキャンしてセキュリティチェックを実行するというもので、数分で完了するという。公証済みソフトウェアにはチケットが添付され、Gatekeeperが認識できるようになる。macOS Mojave 10.14以降では公証済みソフトウェアを初めて実行する際にGatekeeperが既知のマルウェアでないことを表示するようになっている。macOS Catalina 10.15以降ではDeveloper IDで署名されたソフトウェアの実行に公証が必須となっており、今年2月には要件が厳格化された。
発見された公証済みマルウェアはFlash Playerアップデートに偽装するアドウェアOSX.Shlayerのバリアント。TwitterユーザーのPeter H. Dantini氏(@PokeCaptain)が発見し、元NSAハッカーでセキュリティ研究者のPatrick Wardle氏が詳細な調査結果を公表した。Wardle氏から報告を受けたAppleは署名に使われた開発者の証明書を8月28日に失効させているが、8月30日には別の公証済みマルウェアによるアドウェアキャンペーンが継続していることが確認されたという。Wardle氏の記事はここで終わっているが、Appleは後者の署名に使われた証明書も失効させたとWIREDに説明しているとのことだ。
Appleの公証を受けたマルウェアによるアドウェアキャンペーンが発生 More ログイン