パスワード窃取型マルウェア「CrashStealer」がmacOSユーザーを活発に狙っているとの報道に続き、アップル製品の愛用者にとってまたも悪いセキュリティニュースが飛び込んできた。
新たに報告された「ClickLock」攻撃は、実行中のアプリケーションやセキュリティツールを強制終了させるだけではない。正しいシステムパスワードの入力を要求する悪意あるmacOS風のパスワード入力画面を表示し、入力されたパスワードは攻撃者に抜き取られる。
入力を拒めば、パスワード入力ダイアログだけが表示され続けるループに突入し、それが30万秒間続く。つまり、再起動してもなお、Macの画面にパスワード入力画面しか表示されない状態が83時間──日数にすれば3日半──続くのだ。この苦行は、正しい認証情報を入力するまで終わらない。攻撃者はこの手法で被害者を消耗させ、屈服させようとしているとみられる。
Macユーザーは入力内容に気をつけ、システムパスワードを入れてはならない
「セキュリティの最大の弱点はユーザー自身だ」というのは、私に言わせれば使い古された決まり文句だが、ClickLockに関しては、かなり当たっている。
一見すると、これはよくあるソーシャルエンジニアリング攻撃(人の心理につけ込む攻撃)の一種に見える。用いられているのは、今やおなじみとなった「ClickFix」の変種で、偽のクラウドフレア製CAPTCHA認証画面でユーザーをだまし、macOSの「ターミナル」にコマンドをコピー&ペーストさせるという手口だ。このコマンドの貼り付けこそが感染の入口であり、ここでClickLockが実行された後に、冒頭で挙げたパスワード入力ループが始まる。
ところがClickLockは、従来の同種の脅威と異なり、最終目的である認証情報の窃取のために、ランサムウェア(身代金要求型ウイルス)や恐喝に近い脅迫モデルを採用している。ただし、暗号資産での支払いを要求するわけではない。この攻撃は「ダイアログ疲れ」を狙ったモデルでシステムを使用不能にし、被害者の作業を完全に止めてしまう。何日間も画面に表示され続ける、一見正規のログインプロンプトに、被害者が根負けして本物のパスワードを入力する──攻撃者はそれを期待しているのだ。
セキュリティ企業Group-IB(グループアイビー)が新たに公開した脅威インテリジェンスレポートによると、ClickLockの窃取スクリプトが最初に観測されたのは6月9日。標的は「8種のブラウザーのデータ、31種の暗号資産ウォレット用ブラウザ拡張機能、7種のパスワードマネージャー拡張機能、8種のデスクトップ型ウォレットアプリ」だ。さらに「6つのブロックチェーンにまたがるアドレス、macOSのキーチェーン、シェル履歴、FTPの認証情報」を抜き取るという。
コード構造や各種の痕跡を分析した結果、このマルウェアはまだ活発に開発が続いている段階とみられるが、研究者らはこれまでに33カ国で攻撃を確認しており、被害者は少なくとも100人にのぼる。
認めたくはないが、攻撃者の手口は実に巧妙だ。システムを不安定にし、コンピューターが使い物にならないほど機能を損なわせれば、一見正規に見えるログイン画面が表示されたとき、被害者がパスワードを入力してしまう可能性は格段に高まる。しかも攻撃が長引くほど被害者のストレスは募り、悪意ある要求に応じてしまうリスクはさらに大きくなる。
対策はシンプルだ。要は、感染の入口を断つことに尽きる。ClickLockの実行そのものが、ユーザー自身によるコマンドの貼り付けから始まるからだ。Group-IBの研究者らも、私が何度も何度も繰り返してきたのと本質的に同じことを述べている。「ページの見た目がどうであれ、何を確認すると称していようと、ウェブサイトに書かれたコマンドを決してターミナルに貼り付けてはならない」。WindowsであれMacであれ、正規のサービスがそのような操作を求めることは決してない。



