Cryptopolitan による 5 月 11 日の報道として、Microsoft Defender のセキュリティ研究チームが調査結果を公開しました。攻撃者は 2025 年末以降に Medium や Craft などのプラットフォームで、偽の macOS 障害対応ガイドを発信し、ユーザーに対して端末上で悪意のあるコマンドを実行させることで、暗号ウォレットの鍵、iCloud のデータ、ブラウザに保存されたパスワードを窃取するマルウェアをインストールさせていたことが判明しました。
攻撃メカニズム:ClickFix による macOS Gatekeeper の回避
Microsoft Defender のセキュリティ研究チームの報告によると、攻撃者は ClickFix という名称のソーシャルエンジニアリング技術を採用していました。Medium、Craft、Squarespace などの各プラットフォーム上で、ディスク容量の解放やシステムエラーの修復といった内容を装った macOS の障害対応ガイドを公開し、ユーザーに悪意のあるコマンドをコピーして macOS の Terminal に貼り付けさせます。コマンド実行後、悪意のあるソフトウェアが自動でダウンロードされ、起動されます。
Microsoft の報告では、この手法が macOS の Gatekeeper の安全機構を回避できる理由は、Gatekeeper が Finder から開かれるアプリに対してコード署名および公証の検証を行う一方で、ユーザーが Terminal 上でコマンドを直接実行する方法では、この検証手順が適用されないためだとされています。研究者らはさらに、攻撃者が curl、osascript などの macOS ネイティブツールを用いて、メモリ内で悪意のあるコードを直接実行する(ファイルなし攻撃)ことで、標準的な防毒ツールが検知しにくくなることも確認しました。
マルウェアの系統、窃取範囲、特殊な仕組み
Microsoft の報告によると、この攻撃活動には 3 つのマルウェア系統(AMOS、Macsync、SHub Stealer)と、3 種類のインストーラ(Loader、Script、Helper)が関与しており、窃取対象のデータには以下が含まれます:
暗号ウォレットの鍵:Exodus、Ledger、Trezor
アカウント認証情報:iCloud、Telegram
ブラウザ保存パスワード:Chrome、Firefox
個人のファイルおよび写真:2 MB 未満のローカルファイル
マルウェアがインストールされると、偽のダイアログボックスが表示され、ユーザーにシステムパスワードを入力して「補助ツール」をインストールするよう求めます。ユーザーがパスワードを入力すると、攻撃者は完全なファイルおよびシステム設定へのアクセス権を取得できます。Microsoft の報告では、状況によっては攻撃者が Trezor Suite、Ledger Wallet、Exodus の正規アプリを削除し、トロイの木馬を埋め込んだ改変版に置き換えて、取引の監視や資金の窃取を行うことも示されています。さらに、上記のマルウェアが読み込むプログラムには終端スイッチが含まれており、ロシア語のキーボードレイアウトを検出すると、マルウェアは自動的に実行を停止します。
関連する攻撃活動と Apple の防御措置
ANY.RUN のセキュリティ研究者による調査によれば、Lazarus Group は「Mach-O Man」という名称のハッカー活動を開始しており、ClickFix と同様の技術を採用しています。偽の会議招待を使って攻撃し、macOS を主な OS とする金融テクノロジーおよび暗号通貨企業を標的にしています。
Cryptopolitan も別途報道しています。北朝鮮のハッカー組織 Famous Chollima は AI で生成したコードを用い、悪意のある npm パッケージを暗号通貨の取引プロジェクトに埋め込みました。このマルウェアは二層の難読化アーキテクチャを採用しており、ウォレットデータやシステムの機密情報を窃取します。
報道によると、Apple は macOS 26.4 版において、防御機構を追加し、潜在的に悪意があるものとしてマークされたコマンドの macOS ターミナルへの貼り付けを阻止できるようになりました。
よくある質問
Microsoft Defender が明らかにした ClickFix の macOS 攻撃活動はいつ頃から始まり、どのようなプラットフォームで公開されましたか?
Microsoft Defender のセキュリティ研究チームと Cryptopolitan による 2026 年 5 月 11 日の報道によると、攻撃活動は 2025 年末から活発になっており、攻撃者は Medium、Craft、Squarespace などのプラットフォームで偽の macOS 障害対応ガイドを公開して、Mac ユーザーに悪意のある Terminal コマンドを実行させていました。
この攻撃活動は、どの暗号ウォレットとデータの種類を対象にしていますか?
Microsoft Defender の報告によれば、マルウェア(AMOS、Macsync、SHub Stealer)により、Exodus、Ledger、Trezor の暗号ウォレットの鍵のほか、iCloud、Telegram のアカウントデータ、そして Chrome と Firefox に保存されたユーザー名とパスワードを窃取できるとされています。
Apple はこの種の攻撃に対して、どのような防御策を導入しましたか?
報道によると、Apple は macOS 26.4 版で、防潜在的に悪意があるとマークされたコマンドが macOS Terminal に貼り付けられることを阻止する防御機構を追加しました。これにより、ClickFix 型のソーシャルエンジニアリング攻撃が成功する確率を下げることが狙いです。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
韓国のFSIがスマートコントラクトのセキュリティ検証ツールをリリースし、3つのプロジェクトを前進させる
Edailyによると、韓国の金融安全院(FSI)は本日、専用のスマートコントラクト・セキュリティ検証ツールの開発を発表し、スマートコントラクト検証システムの構築やデジタル資産人材の育成など、3つの主要施策を推進している。検証ツールは、トークン証券、ステーブルコイン、その他のデジタル資産サービスに用いられるスマートコントラクトにおける主要な脆弱性を自動的に検出し、再入可能性攻撃(reentrancy attacks)、アクセス制御の誤り、担保(コラテラル)の検証不足といった高リスクの脆弱性タイプに重点を置く。ツールは、韓国の金融規制環境に合わせてカスタマイズした検査基準を継続的に更新する。FSIはまた、開発からデプロイ、運用に至るスマートコントラクトのライフサイクル全体を対象とする検証手順と基準を整備し、加盟企業向けに「スマートコントラクト・セキュリティガイド」を公開する。
GateNews45分前
和牛開発者がXMR1のラグプルを否定し、ターミナル経由の出金を明確化
Foresight Newsによると、Wagyuの開発者PerpetualCowは、XMR1トークン保有者はレガシーのクロスチェーンUIではなくTerminal経由で資金を引き出せると明確にし、最近のRug Pull(ラグプル)疑惑を否定した。開発者は、出金の失敗を報告したユーザーはいないと述べ、スワップ画面のインターフェースにはすでに正しい出金方法が明記されている。コミュニティのメンバーは以前、WagyuがRug Pullのように見え、XMRの入金がロックされる可能性があり、またHoneypot(ハニーポット)の指標が存在すると懸念を示していた。XMR1はHyperliquid上でWagyuが発行した合成XMRトークンである。
GateNews2時間前
反逆者V1のArbitrumへのデプロイが攻撃され、20.9万ドルを失う;ホワイトハットのハッカーが19万ドルを返す
X上のRenegade公式発表によると、同プロトコルのレガシーV1 Arbitrumデプロイメントが今朝(5月11日)早い段階で攻撃を受け、約$209,000の損失が発生しました。ホワイトハットのハッカーが約$190,000を返還し、チームは、影響を受けた全ユーザーに対して完全な補償が行われることを確認しました。 チームは、脆弱性が存在していたのはV1 Arbitrumデプロイメントのみであり、V1 Base、V2 Arbitrum、V2 Baseのデプロイメントは引き続き安全であると確認しました。V1 Arbitrumの取引を支えるすべてのインフラは停止されており、これによりさらなる資金リスクが解消されています。
GateNews3時間前
USDT0はKelpのインシデントに続いて、3/3のバリデーション・メカニズムと$6M のバグバウンティ・プログラムを発表
Foresight Newsによると、USDT0は、Tetherの資産相互運用プロトコルとして、Kelpのインシデント後にセキュリティ・アーキテクチャの詳細を発表した。このプロトコルは、メッセージの拒否権を持つ独自の分散型バリデータ・ネットワーク(DVN)を採用しており、クロスチェーンのメッセージが決済される前に、異なるコードベースに基づく3つの独立したバリデータで3/3のコンセンサスに到達する必要がある。現在のバリデータ・ノードには、USDT0の独自DVN、LayerZero、そしてCanaryが含まれている。USDT0はまた、Immunefi上で600万ドルのバグバウンティ・プログラムを立ち上げており、契約はGuardianとOpenZeppelinによって監査されている。
GateNews4時間前
マイクロソフト、2025年後半からExodus、Ledger、Trezorウォレットを狙うmacOSフィッシング・キャンペーンを発見
Microsoftのセキュリティ調査チームによると、2025年後半以降、攻撃者はMedium、Craft、Squarespaceを含むプラットフォーム上で、偽のmacOSトラブルシューティングガイドを配布し、ユーザーに悪意のあるターミナルコマンドを実行させようとしてきた。これらのコマンドは、Exodus、Ledger、Trezorからの暗号資産ウォレットの鍵を盗むように設計されたマルウェアをダウンロードして実行し、さらにiCloudデータやChromeおよびFirefoxに保存されたパスワードも狙う。 関与しているマルウェアファミリーには、AMOS、Macsync、SHub Stealerが含まれる。場合によっては、攻撃者が正規のウォレットアプリを削除し、それらをトロイ化されたバージョンに置き換えることもある。Appleは、macOS 26.4において、潜在的に悪意のあるコマンドの貼り付けをブロックする保護を追加した。
GateNews4時間前
LayerZero、Kelp DAOのエクスプロイト対応に関する公開謝罪を発表。DVNの単一検証者による不具合を認める
LayerZeroによれば、同プロトコルは金曜日に4月18日のエクスプロイトへの対応についてパブリックに謝罪した。同エクスプロイトはKelp DAOのクロスチェーンブリッジからrsETHを2億9,200万ドル流出させ、先のポストモーテムから大きなトーンの転換を示すものとなった。LayerZeroは、分散型検証者ネットワーク(DVN)が高額な取引の唯一の検証者として機能すべきではなかったと認め、次のように述べている。「高額な取引において、DVNを1/1のDVNとして動作させてしまったことは誤りでした。」同社は、北朝鮮のLazarus Groupが内部のRPCノードを侵害したうえで、外部プロバイダーに対して同時にDDoS攻撃を仕掛け、DVNが汚染されたインフラに依存せざるを得なくなったことを明らかにした。 LayerZeroは是正措置として、DVNは今後1/1の設定を提供しないこと、デフォルト設定は可能な限り少なくとも5人の検証者を要するものへ移行すること、そして同社はOneSigを用いてマルチシグの閾値を3-of-5から7-of-10へアップグレードする計画であることを示した。今回のエク
GateNews4時間前
