この記事のポイント
- macOSユーザーを狙う新マルウェア「PamStealer」が登場しました。
- 正規のクリップボードマネージャー「Maccy」の偽サイトを悪用し、Apple Silicon Macも標的にします。
- macOSのPAM認証を悪用してログインパスワードの正当性を確認し、機密情報を窃取します。
サイバーセキュリティ研究者によって、macOSユーザーを標的とした新たな情報窃取マルウェア「PamStealer」の存在が確認されました。このマルウェアは、正規のクリップボードマネージャー「Maccy」の偽サイトを利用し、巧妙な手口でユーザーのログインパスワードや機密情報を窃取します。特に、macOSのPluggable Authentication Modules(PAM)を悪用してパスワードの正当性を確認する点が特徴で、その静かな実行チェーンは従来の検出を困難にしています。
偽サイトと巧妙な感染経路
PamStealerは、正規の「maccy.app」を模倣した偽サイト「maccyapp[.]com」を通じて配布されます。ユーザーがこの偽サイトからダウンロードするのは、コンパイルされたAppleScript(.scpt)ファイルで、これが初期の感染源となります。このAppleScriptは、Script Editorで実行されると、一見無害な指示を表示しつつ、隠された悪意あるJavaScript for Automation(JXA)ダウンローダーを実行します。これにより、Rustで記述された情報窃取ペイロードがダウンロードされ、システムに展開される仕組みです。注目すべきは、Appleのセキュリティ機能であるGatekeeperやTerminalの制限を回避しながら実行される点です。
Apple Silicon Macも標的:環境に応じた攻撃
PamStealerのAppleScriptドロッパーは、実行環境を詳細にチェックする機能を備えています。CPUアーキテクチャ、ロケール、キーボードレイアウト、タイムゾーンなどの情報からデバイスのフィンガープリントを生成し、これがApple Silicon Macである場合にのみ暗号化された設定を解除してペイロードのダウンロードを継続します。IntelベースのMacでは復号キーが一致せず、ドロッパーは自動的に終了するよう設計されています。
さらに、このマルウェアはサンドボックス環境や分析環境、東欧諸国(ロシア、ベラルーシ、カザフスタンなど)のタイムゾーンやロケールを持つシステムでの実行を回避する設計となっており、セキュリティ分析を困難にしています。これにより、特定の標的に対して効果的に攻撃を仕掛けることが可能になっています。
PAM認証悪用によるログインパスワード窃取
マルウェアがシステムに展開されると、Finderアプリを装ったRust製のバイナリが活動を開始します。これはWebブラウザのデータ、仮想通貨ウォレットの拡張機能情報、iCloudキーチェーン、クリップボードの内容などを収集します。
特に危険なのは、ユーザーに全ファイルシステムへのアクセス権限を要求した後、macOSのネイティブなパスワード入力プロンプトを表示する点です。ここで入力されたパスワードは、macOSのPAM APIを通じてその正当性が検証されます。パスワードが正しく入力されるまで繰り返し入力を促し、正確なログインパスワードを窃取します。パスワード窃取後には、「Maccyが破損しているため開けません。ゴミ箱に移動してください」という偽の警告を表示し、ユーザーにマルウェアを削除させることで、感染の痕跡を隠蔽しようとします。しかし、この時点ですでにパスワードは窃取され、マルウェアは永続化のための設定を完了しています。
持続的なアクセスとデータ流出
Rustバイナリには、macOSのシステム設定を模倣した別のarm64 Mach-Oバイナリも含まれており、これがマルウェアの永続化設定に使用されます。これにより、システムへの持続的なアクセスが確保されます。窃取された情報は暗号化された後、「avenger-sync[.]live」という攻撃者制御のインフラストラクチャへHTTPリクエストを通じて流出します。
【管理人の視点】日本のユーザーにとっての意味
この「PamStealer」の出現は、日本のmacOSユーザーにとっても看過できない脅威です。特に、正規のソフトウェアを装った偽サイトからのダウンロードは、一般的なユーザーが警戒しにくい手口であり、注意が必要です。Apple Silicon Macを狙う設計は、最新のMacを利用しているユーザーも標的になりうることを示しています。
対策としては、ソフトウェアのダウンロードは必ず公式サイト(Maccyの場合は「maccy.app」)から行うこと、そして不審なサイトやメールからのダウンロードリンクは絶対にクリックしないことが重要です。また、macOSのセキュリティ機能(Gatekeeperなど)は常に最新の状態に保ち、不審なパスワード入力プロンプトには細心の注意を払うべきでしょう。日本のユーザーは、英語圏のサイトだけでなく、日本語で提供される偽サイトにも警戒する必要があります。
まとめ
PamStealerは、偽サイトの利用、Apple Silicon Macに特化した環境チェック、そしてPAM認証を悪用したパスワード窃取という多層的な手口を用いる、高度な情報窃取マルウェアです。その「静かな実行チェーン」は、従来の検出手法を回避しやすく、macOSユーザーにとって新たな脅威となっています。ソフトウェアの入手経路を常に確認し、不審な挙動には警戒を怠らないことが、このようなマルウェアから身を守るための鍵となります。

