Sapphire Sleet macOS侵入の実態とDefender対策

はじめに

Microsoft は、暗号資産および金融関連組織を標的として知られる北朝鮮系脅威アクター Sapphire Sleet に関連する、macOS 侵入キャンペーンの新たな調査結果を公開しました。このレポートが重要なのは、攻撃者がソフトウェアの脆弱性を悪用せず、正規の更新に見えるものをユーザーに実行させるだけで Mac を侵害できることを示しているためです。

このキャンペーンの新しい点

Microsoft は、Sapphire Sleet が偽の Zoom SDK Update.scpt ファイルを使用して、macOS 上で多段階の感染チェーンを開始することを確認しました。

注目すべき主な手法

• 脆弱性悪用ではなくソーシャル エンジニアリング: このキャンペーンは、ユーザーが悪意ある AppleScript ファイルを手動で開いて実行することに依存しています。
• 信頼されたアプリの悪用: 誘導ファイルは Apple の正規アプリケーションである macOS Script Editor で開かれるため、動作が無害に見えやすくなります。
• 多段階ペイロード配信: このスクリプトは curl と osascript を使って、攻撃者管理下のインフラから追加の AppleScript ペイロードを取得・実行します。
• 認証情報窃取と永続化: 後続段階では、パスワードの収集、暗号資産の標的化、TCC 関連動作の操作、永続化の確立、機密データの外部送信が行われます。
• おとりの更新ワークフロー: 悪意あるスクリプトには偽の更新手順が含まれ、信頼されたシステム ツールを起動して正当性を補強します。

Microsoft は、この攻撃チェーンがユーザー主導で実行される場合、通常の macOS セキュリティ強制の境界外で動作し得ると指摘しています。その結果、Gatekeeper、notarization チェック、quarantine enforcement、Transparency, Consent, and Control フレームワークの一部といった制御の有効性が低下します。

防御側にとって重要な理由

IT 部門とセキュリティ チームにとっての主なポイントは、説得力のある誘導に対して macOS ユーザーは依然として非常に脆弱であるということです。特に、暗号資産、ベンチャー キャピタル、金融、blockchain のような高価値分野では、その傾向が顕著です。このキャンペーンはまた、攻撃者が不審さを抑えるために、正規の macOS ユーティリティと段階的なペイロード配信を組み合わせるケースが増えていることも示しています。

Microsoft Defender を利用している組織は、この活動に関して Microsoft が新たに公開した検知、ハンティング ガイダンス、侵害の痕跡を確認すべきです。特に Mac を比較的低リスクなエンドポイントとして扱ってきた環境では、クロスプラットフォームの可視性が不可欠です。

推奨される次のステップ

• ユーザー教育を実施する: 想定外の更新ファイル、特に公式チャネル以外から配布された .scpt ファイルやスクリプトを実行しないよう周知します。
• macOS を最新の状態に保つ: Apple の最新の保護機能とセキュリティ更新を適用します。
• エンドポイント検知を見直す: Script Editor、osascript、curl が連続して使用される不審な挙動を確認します。
• 偽の更新アクティビティをハントする: 外部ダウンロードに関連する異常な AppleScript 実行を調査します。
• 高リスク ユーザーを優先する: 金融、crypto、経営幹部などの役割に対して、より強力な監視とフィッシング耐性のある制御を適用します。

今回の調査は、現代の macOS 攻撃の多くが悪用ではなく、説得によって成功していることを改めて示しています。セキュリティ チームは、ユーザー意識向上、エンドポイント監視、多層防御を組み合わせて、リスクへの露出を減らす必要があります。