「Mac」向けのセキュリティソフトウェアを手がけるIntegoによると、「macOS」を狙う悪意ある開発者らは、最近明らかにされた「Gatekeeper」に存在する脆弱性を悪用するマルウェアを積極的に開発しているという。

Integoの主席セキュリティアナリストであるJoshua Long氏が実施した調査によると、「OSX/Linker」と名付けられたこの新たなマルウェアは、「OSX/Surfbuyer」というアドウェアを手がけているグループと関連があるという。

OSX/Linkerは、Gatekeeperに存在する既知の脆弱性を悪用する。Gatekeeperは、インターネットからダウンロードした実行アプリケーションをスキャン／承認する、macOSのセキュリティシステムだ。

セキュリティリサーチャーのFilippo Cavallarin氏は5月下旬、インターネットからダウンロードされた悪意のあるバイナリーコードのスキャン処理をGatekeeperがバイパスしてしまうという脆弱性についての情報を公開した。

この脆弱性は、アーカイブファイル内にsymlink（シンボリックリンク）を配置し、そのsymlinkによって攻撃者の統制下にあるNetwork File System（NFS）サーバーをリンクすることで悪用できる。

Cavallarin氏は、Gatekeeperがこの種のファイルをスキャンせず、ユーザーによるsymlinkの実行を許可してしまうことを発見した。このようなsymlinkが悪意を持ったものである場合、攻撃者は被害者のmacOSシステム上で有害なコードを実行できるようになる。

macOSのすべてのバージョンが影響を受けるものの、現時点においてAppleはパッチをリリースしていない。

Long氏によると、同氏が6月に発見したマルウェアのサンプルでは、Gatekeeperを悪用してマルウェアを拡散するためのさまざまな手法がテストされているという。

こうしたマルウェアのサンプルは、テスト目的のように見えるが、過去にOSX/Surfbuyerアドウェアの黒幕が使用していた証明書で署名されている。

Integoのレポートによると、同サンプルはCavallarin氏が公開した概念実証（PoC）コードから若干の変更が加えられているとはいえ、最終的にはユーザーのコンピューターを危険に陥れるものだという。

さらに、発見された「テスト版」のOSX/Linkerマルウェアはすべて、自らを「Adobe Flash Player」のインストーラーだと偽っている。Long氏によると、これは「Macユーザーをだましてマルウェアをインストールさせる際に、マルウェアの製作者が最もよく用いる手法の1つ」だという。また同氏は、これがセキュリティリサーチャーらによって実施された単なるテストではなく、マルウェアのペイロードを実際に配布するためのテストであることを示唆している。

実際に被害をもたらすOSX/Linkerマルウェアによる攻撃は確認されていないが、今そういった攻撃が実施されていないということを意味しているわけではない。

Long氏は、OSX/Surfbuyerの黒幕によって「Apple Developer ID」が悪用されている件についてAppleに通知済みだと述べた。また、同社は悪用された証明書を無効化する対処を実施しているところだという。