微軟:偽の macOS 障害(トラブル)解決ページを配信し、ClickFix を導入して暗号通貨ウォレットの秘密鍵を盗み取る
Cryptopolitan による 5 月 11 日の報道として、Microsoft Defender のセキュリティ研究チームが調査結果を公開しました。攻撃者は 2025 年末以降に Medium や Craft などのプラットフォームで、偽の macOS 障害対応ガイドを発信し、ユーザーに対して端末上で悪意のあるコマンドを実行させることで、暗号ウォレットの鍵、iCloud のデータ、ブラウザに保存されたパスワードを窃取するマルウェアをインストールさせていたことが判明しました。
攻撃メカニズム:ClickFix による macOS Gatekeeper の回避
Microsoft Defender のセキュリティ研究チームの報告によると、攻撃者は ClickFix という名称のソーシャルエンジニアリング技術を採用していました。Medium、Craft、Squarespace などの各プラットフォーム上で、ディスク容量の解放やシステムエラーの修復といった内容を装った macOS の障害対応ガイドを公開し、ユーザーに悪意のあるコマンドをコピーして macOS の Terminal に貼り付けさせます。コマンド実行後、悪意のあるソフトウェアが自動でダウンロードされ、起動されます。
Microsoft の報告では、この手法が macOS の Gatekeeper の安全機構を回避できる理由は、Gatekeeper が Finder から開かれるアプリに対してコード署名および公証の検証を行う一方で、ユーザーが Terminal 上でコマンドを直接実行する方法では、この検証手順が適用されないためだとされています。研究者らはさらに、攻撃者が curl、osascript などの macOS ネイティブツールを用いて、メモリ内で悪意のあるコードを直接実行する(ファイルなし攻撃)ことで、標準的な防毒ツールが検知しにくくなることも確認しました。
マルウェアの系統、窃取範囲、特殊な仕組み
Microsoft の報告によると、この攻撃活動には 3 つのマルウェア系統(AMOS、Macsync、SHub Stealer)と、3 種類のインストーラ(Loader、Script、Helper)が関与しており、窃取対象のデータには以下が含まれます:
暗号ウォレットの鍵:Exodus、Ledger、Trezor
アカウント認証情報:iCloud、Telegram
ブラウザ保存パスワード:Chrome、Firefox
個人のファイルおよび写真:2 MB 未満のローカルファイル
マルウェアがインストールされると、偽のダイアログボックスが表示され、ユーザーにシステムパスワードを入力して「補助ツール」をインストールするよう求めます。ユーザーがパスワードを入力すると、攻撃者は完全なファイルおよびシステム設定へのアクセス権を取得できます。Microsoft の報告では、状況によっては攻撃者が Trezor Suite、Ledger Wallet、Exodus の正規アプリを削除し、トロイの木馬を埋め込んだ改変版に置き換えて、取引の監視や資金の窃取を行うことも示されています。さらに、上記のマルウェアが読み込むプログラムには終端スイッチが含まれており、ロシア語のキーボードレイアウトを検出すると、マルウェアは自動的に実行を停止します。
関連する攻撃活動と Apple の防御措置
ANY.RUN のセキュリティ研究者による調査によれば、Lazarus Group は「Mach-O Man」という名称のハッカー活動を開始しており、ClickFix と同様の技術を採用しています。偽の会議招待を使って攻撃し、macOS を主な OS とする金融テクノロジーおよび暗号通貨企業を標的にしています。
Cryptopolitan も別途報道しています。北朝鮮のハッカー組織 Famous Chollima は AI で生成したコードを用い、悪意のある npm パッケージを暗号通貨の取引プロジェクトに埋め込みました。このマルウェアは二層の難読化アーキテクチャを採用しており、ウォレットデータやシステムの機密情報を窃取します。
報道によると、Apple は macOS 26.4 版において、防御機構を追加し、潜在的に悪意があるものとしてマークされたコマンドの macOS ターミナルへの貼り付けを阻止できるようになりました。
よくある質問
Microsoft Defender が明らかにした ClickFix の macOS 攻撃活動はいつ頃から始まり、どのようなプラットフォームで公開されましたか?
Microsoft Defender のセキュリティ研究チームと Cryptopolitan による 2026 年 5 月 11 日の報道によると、攻撃活動は 2025 年末から活発になっており、攻撃者は Medium、Craft、Squarespace などのプラットフォームで偽の macOS 障害対応ガイドを公開して、Mac ユーザーに悪意のある Terminal コマンドを実行させていました。
この攻撃活動は、どの暗号ウォレットとデータの種類を対象にしていますか?
Microsoft Defender の報告によれば、マルウェア(AMOS、Macsync、SHub Stealer)により、Exodus、Ledger、Trezor の暗号ウォレットの鍵のほか、iCloud、Telegram のアカウントデータ、そして Chrome と Firefox に保存されたユーザー名とパスワードを窃取できるとされています。
Apple はこの種の攻撃に対して、どのような防御策を導入しましたか?
報道によると、Apple は macOS 26.4 版で、防潜在的に悪意があるとマークされたコマンドが macOS Terminal に貼り付けられることを阻止する防御機構を追加しました。これにより、ClickFix 型のソーシャルエンジニアリング攻撃が成功する確率を下げることが狙いです。