いま気になるMacのセキュリティリスクと対策

概要

Apple社製品は、その使いやすさやデザイン性などからユーザに高い評価を受けています。最近、企業でも開発者に対してや従業員の希望を受け、Macを会社支給のPCとして全面的・部分的に採用しているケースも多く見られます。では、企業でApple社製品を採用する際に問題点はないのでしょうか？

１つは管理面ですが、JamfなどのApple社製品の統合管理ツールやマイクロソフトのActive Directory での管理機能の充実により、管理面での問題点は少なくなりつつあると考えています。もう一つは、セキュリティ面です。本記事では、この側面について深堀していきたいと思います。

Macにおける脅威について

数年前までMac OS は、Windows OSと比較して、脅威が少なく、安全であると考えられていました。しかし現在はそうではありません。Mac OSを対象としたマルウェアの数は増加しており、ある企業の調査結果によると2020年に発見されたマルウェアの数は、前年比で1, 000% 以上増加したという報告もされています。ここでは、いくつかのMac OS関連で観測された攻撃について記載したいと思います。

標的型攻撃

国家の支援を受けているといわれている攻撃者が、Mac OSを標的とすることがあります。最近では、北朝鮮のLazarus、ベトナムのAPT32と呼ばれる攻撃者グループが、Mac OSに対するマルウェアを作成し攻撃を行っていたことが報告されています。これらのMac OS向けに作成されたマルウェアが、国内の組織を標的として利用されたという情報はありませんが、これらの攻撃者は少なくとも国内の組織に対しても攻撃を行っています。つまり、彼らの標的とするスコープ内にある組織にとっては、Mac OS に対する攻撃もあり得るといえます。

ランサムウェア

Mac OSにもランサムウェアは存在しています。ランサムウェアの背後にいる攻撃者は、Windows OS 同様にPC上に存在するファイルを暗号化し、脅迫を行います。※なお、現時点で組織ネットワークやシステム全体への攻撃ではなく、個々の端末への攻撃が主です。そのため、二重脅迫や暴露型と呼ばれるような手口ではありません。

M1チップへ対応したマルウェア

2021年3月、Apple社はM1チップと呼ばれる独自のCPUを搭載したモデルをリリースしました。驚くべきことに、リリース直後にこの変更に追従したマルウェア、アドウェアがすでに発見されています。Apple社は、従来のハードウェアで利用できたアプリを継続して利用できるようにする仕組みを設けています。しかし、これらのマルウェアは、その仕組みには依存せずに、M1チップ搭載モデルで実行できるように適応していました。攻撃者側も新たなターゲットに対して、素早く適応できる技術力やそれを達成するための目的（金銭の獲得や機微な情報の窃取など）が存在していることの裏付けと言えるでしょう。

また、OSに非依存なPythonなどのプログラミング言語で書かれたマルチプラットフォーム対応したマルウェアも存在しています。繰り返しとなりますが、これらの事実から、Mac OS だから安全ということは言えず、他のOS同様に保護すべき対象であることに違いはありません。

セキュリティ製品を選択すべき際のいくつかの観点

次に実際にMac OS をご利用になられている企業様が直面していた課題について見ていきたいと思います。

ユーザ様の課題

あるお客様では、Macを社内の標準PCとして利用されており、あるNGAV製品を利用されていました。その運用において日々大量のアラートが発生するも、取得できるアラート関連／ホスト関連の情報が少なく、調査が十分に行えずに未解決のままになってしまったインシデントも多かったようです。そのためNGAV製品のリプレイスを検討されてましたが、Mac OSに対応したセキュリティ製品が少なく、エンドポイントへのセキュリティに課題を感じられていました。

ここまで整理した最近の脅威の動向とユーザ様の課題を鑑みると、Macで利用するセキュリティソフトの要件としては以下3点があげられそうです。
1）高度な侵入に対応できる機能を保持すること（検出、調査、対応の機能）　
2）Macのホスト情報（OSやユーザ名やアプリケーション等）が可視化できること
3）Apple社のOSやハードウェアの変更に迅速に追従できること

ここでは、上記のユーザ様がNGAV製品からのリプレイスで選択いただいたCrowdStrike製品について上記観点で見ていきたいと思います。

１．高度な侵入に対応できる機能を保持すること

セキュリティベンダーの多くは、Windowsの開発に力を入れているため、結果として、Mac OSに対応した機能との差が生じてしまう傾向にあります。CrowdStrikeではOSごとの機能差分が比較的少なくなくっており豊富な機能を有しています。Mac OS であってもマルウェアや脅威と疑われる振る舞いの検出やブロックなどEDRに必要とされている機能はもちろん実装されています。

例えば、Mac OS に対して侵入活動が行われた際、迅速に脅威の有無の調査や脅威の優先度付けなどをしていくことが必要になります。CrowdStrike では以下の画面のように、検出されたアラートが時系列順にツリー構造で表示され、マルウェアの侵入から攻撃の内容を直感的に理解でき、深い情報も同じ画面で見れるUIとなっています。例えば以下はTerminalから悪意のあるコマンドが実行されため、ブロックされたことを示すプロセスツリーになります。

2：アラートのみならずホスト情報が参照できること

　CrowdStrikeではIT資産管理モジュールが用意され、Mac OSも管理の対象となっております。Discoverモジュールでは、お客様環境内で不可視になっている領域を「アプリ」「端末」「アカウント」の観点で可視化することが可能です。利用アプリケーションの一覧や、非管理端末の一覧、またユーザーの利用状況を可視化できます。

3：Mac OSのシステム変更に素早く対応

Apple社はプライバシーを非常に重視するベンダーであると知られており、最新のOSなどではセキュリティ製品であってもユーザの意図なしに監視を行うことをできません。例えば、カーネルへのアクセス制限や従来提供していたAPIを廃止するなどがあり、セキュリティベンダーにとっては抜本的なシステムの変更が求められるインパクトの大きい変更がありました。また、Mac OS側の変更をセキュリティベンダー各社へ通知することはありません。これにより、セキュリティーベンダーは最新OSのプレリリース後にApple社の変更に対応しなくてはなりません。こういった背景の中セキュリティベンダーは迅速な開発スピードが求められます。

CrowdStrikeでは、大きな変更があったOSへの迅速な対応実績がありますのでご紹介させていただきます。

また、CrowdStrikeは、2021年3月25日にAppleの独自のチップ「M1」を搭載したモデルに対応するセンサーのリリースを行いました。

この新しいM1チップは、Intelのプロセッサーに取って代わるもので、これまで使われてきたx86アーキテクチャではなくARMアーキテクチャをベースにしております。CrowdStrike社では、この新しいアーキテクチャへの最適化を積極的に進め、多くのセキュリティ製品に先駆けてリリースすることができました。

現在において導入されているセキュリティ製品がMac製品の仕様変更に対応が追いついておらず、お困りの管理者の方もいるのではないでしょうか。CrowdStrike社では、継続的かつスピーディーに新しいテクノロジーをEDR製品に対応させています。

まとめ

今回の記事ではMac関連の セキュリティ脅威動向とMacに最適なセキュリティ製品の一つであるCrowdSrike Falconについてご紹介させていただきました。

CrowdStrikeの詳細については、カタログをご用意しておりますので、是非ご覧ください。

CrowdStrikeはMac端末を利用する管理者様のお悩みを多く解決できると考えております。フリートライアルも可能となっておりますので、ご興味があれば是非下記フォームよりお問い合わせください。

最後までお読みいただきありがとうございました。