「Macは安全」は幻想か――偽の「Zoom更新」で広がる北朝鮮系攻撃：偽のアップデートでAppleの防御を回避

Microsoft Threat Intelligenceは、北朝鮮系グループによるmacOS向け攻撃を公表した。偽のソフト更新を使いユーザー自身に実行させる手法で、認証情報や暗号資産を窃取する。今すぐ講じるべき防御策を紹介する。

[Alex Scroxton，TechTarget]

　Microsoft Threat Intelligence（MSTIC）は2026年4月16日（米国時間）、macOSユーザーを標的とした北朝鮮系攻撃グループ「Sapphire Sleet」による新たなサイバー攻撃を報告した。

　本攻撃の特徴は、ソフトウェアの脆弱（ぜいじゃく）性を突くのではなく、「ユーザーに自ら実行させる」点にある。攻撃者はソフトウェア更新を装い、被害者に悪意あるAppleScriptファイルを開かせることで、認証情報や暗号資産、個人データを窃取する。

Zoomを更新させる手口、実態と対策は

併せて読みたいお薦め記事

パフォーマンス監視の関連記事

• 期待の若手エンジニアを入社初日に解雇　どのように”ある国の脅威アクター”を見抜いた？
• サイバー攻撃の“今これが大事”と取るべき対策は？　「22秒で攻撃準備」という現実

　この手法により、以下のmacOSのアプリケーション認証プロセスを回避できる。

• Gatekeeper
  • 信頼できる開発元が開発したアプリケーションかどうか、また、アプリケーションにマルウェアが含まれていないかを検証する。
• Notarization
  • アプリケーションの開発元がAppleにアプリケーションの情報を提出することで得られる認証
• TCC
  • カメラ、マイク、ファイルシステムなど機密情報に関わる機能にアプリケーションが最初にアクセスする際にユーザーに許可を求める機能

攻撃の詳細

初期侵入：ソーシャルエンジニアリング

　攻撃は、ビジネス向けSNS（ソーシャルネットワーキングサービス）での「偽の採用担当者」から始まる。標的は求人相談に誘導され、「技術面接」に招待される。

　標的はその過程で、Web会議ツールの更新を装った「Zoom SDK Update.scpt」というファイルのダウンロードと実行を指示される。

実行トリガー

　Zoom SDK Update.scptはmacOSのScript Editorで開かれる。その際、正規の更新手順のように見える説明文が表示される。

　しかしファイルには、テキストの下に数千行もの「空行」が挿入されており、その配下に悪意あるコードが隠されている。ユーザーが気付かないままスクリプトを実行すると、攻撃が開始される。

　スクリプトは最初、正規の「softwareupdate」プロセスを呼び出し、正当な動作に見せかける。その後、「curl」と「osascript」を組み合わせた多段階のペイロード取得・実行に移行する。

多段ペイロード展開

　攻撃は単一のマルウェアではなく、段階的に機能を追加する構造になっている。

• 偵察
  • 端末情報（ユーザー名、OS、ハードウェア）を収集する。
• C&C（Command and Control）登録
  • 感染した端末を識別し、遠隔操作基盤に登録する。
• 監視モジュール（com.apple.cli）
  • プロセス監視や情報収集を実行する。
• バックドア（services／icloudz）
  • 持続的な侵入経路を確立する。
• 追加バックドア（com.google.chromes.updaters）
  • 定期的な通信・指令の受信を実施する。

　これにより、攻撃者は長期的なアクセス権を確保する。

認証情報の窃取

　次に、systemupdate.appという偽のアプリケーションが起動する。

　systemupdate.appのUIはmacOSの正規ダイアログと区別しにくい。このUIでパスワード入力を求める。入力された認証情報は検証された後、TelegramのAPI経由で攻撃者に送信される。

防御回避

　さらに、macOSの権限制御機構「TCCデータベース」が改ざんされる。

　これにより、ユーザーの許可なしにAppleScriptがFinderなどと連携できるようになり、大量のデータ取得が可能になる。

情報収集と外部送信

　最終段階では、以下の情報が収集・圧縮され、外部に送信される。

• ブラウザの認証情報や履歴
• 暗号資産ウォレット
• キーチェーン
• Telegramでのセッション
• SSHキー
• Apple Notes
• システムログ

　これらは「curl」によって継続的に外部サーバへ送信される。

攻撃の目的

　Sapphire Sleetの主目的は「資金獲得」だ。

　具体的には以下の2点に集約される。

• 暗号資産ウォレットの窃取による直接的な資金獲得
• ブロックチェーン関連技術や知的財産の窃取

　同グループは2020年頃から活動しており、北朝鮮政府との関係が指摘されている。金融、暗号資産、ベンチャーキャピタルなど「高価値データ」を持つ組織を重点的に狙う。

情シスが取るべき対策は？

　Appleは既にプラットフォームレベルでの保護策を講じている。Sapphire Sleetのインフラやマルウェアを検知、ブロックし、Safariでの閲覧保護機能を展開した。この攻撃に関連するマルウェアを特定するための新しい署名も発行済みだ。

　MSTICは、同様の攻撃被害を防ぐため、以下の対策を取ることを推奨している。

• ソーシャルメディアや外部プラットフォームを起点とした脅威について、ユーザー教育を実施する。特にソフトウェアのダウンロードやターミナルコマンドの実行を要求する勧誘には注意を促す。
• インターネットからダウンロードされた「コンパイル済みAppleScriptファイル」や「未署名のMach-Oバイナリ」の実行を制限、または禁止することを検討する。
• 外部ソースからダウンロードされたファイルは、厳密に検査し検証する。
• 「curl」の使用を制限または監査する。特にインタープリタにパイプで渡す操作には警戒する。
• macOSのTCCデータベースへの不正な変更や、ローンチデーモン、ローンチエージェントのインストールを監視する。
• 暗号資産のウォレットアドレスや認証情報など、機密情報のコピー＆ペーストには細心の注意を払う。貼り付けた内容が意図したソースと一致するかを確認する。