セキュリティ研究チームのMosyle Securityは2026年4月22日、macOSの信頼検証機構「Gatekeeper」を迂回する新型マルウェア「Phoenix Worm」と「ShadeStager」を発見したと発表した。Tom’s GuideのJason England氏が報じたこの問題は、世界1億人以上のMacユーザーに影響する可能性があるとして、セキュリティコミュニティで急速に注目を集めている。

なぜこの脅威が深刻なのか

macOSのGatekeeperは、Appleが「信頼できる開発者」として認証したアプリのみを実行許可する仕組みだ。この「デジタルパスポート」とも言える開発者証明書の信頼性が、今回の攻撃の核心的な標的になった。従来のマルウェアはGatekeeperに弾かれることが多かったが、今回の手口は認証の「発行元」そのものを乗っ取るため、macOS側からは正規アプリと区別がつかない。

二段階攻撃の手口——Mosyle Securityの分析

Mosyle Securityの報告によると、攻撃は二つのマルウェアが連携する形で進行する。

第一段階:Phoenix Wormの潜入

まず開発者を狙って、偽の採用担当者からのスカウトメールや、クライアントを装った「緊急のコーディング依頼」といったソーシャルエンジニアリング攻撃でPhoenix Wormを侵入させる。侵入後、このマルウェアはシステムに固有IDを付与して外部からの指令を待ちながら、セキュリティソフトを検知した場合は自身の動作を隠蔽するという巧妙な動きをとる。

第二段階:ShadeStagerによる証明書窃取

Phoenix Wormが「安全」と判断すると、次にShadeStagerが呼び出される。ShadeStagerは開発者キー、クラウド認証情報、開発ツールの秘密情報を根こそぎ奪取する。これらの「マスターキー」を手にした攻撃者は、任意の悪意あるファイルにAppleの正規署名を付与できるようになる。

Tom’s Guideのレポートは「開発者の信頼されたツールを汚染することで、Macのウォールドガーデンに裏口を作っている」と表現している。エンドユーザーは開発者から配布されたアプリを受け取るだけで、気づかぬうちに感染済みアプリをインストールしてしまうリスクがある。

対策として今できること

Tom’s GuideのEngland氏によると、AppleはmacOS 26.4においてTerminalへの怪しいコードの貼り付けを警告する機能をすでに追加しており、今後数日以内にGatekeeperの検証プロセスを強化するホットフィックスが展開される可能性も十分あると見ている。

現時点でユーザーができる対策としては以下が挙げられる。

  • macOSとアプリを常に最新状態に保つ
  • 見覚えのないメール添付ファイルや、急ぎの依頼を装ったリンクを安易に開かない
  • App Store外からのアプリインストール時は出所を慎重に確認する
  • 開発者の場合は、外部から受け取ったスクリプトやコードを実行する前に内容を精査する習慣を徹底する

日本市場での注目点

日本国内でもMacは法人・個人を問わず広く普及しており、特にソフトウェア開発者やクリエイター層への影響が懸念される。今回の攻撃は開発者を入口にしてエンドユーザーまで被害が波及する「サプライチェーン型」の手口であり、使っているアプリが安全かどうかを自分だけでは判断しづらい点が厄介だ。

Appleの公式セキュリティアップデートページ(support.apple.com/ja-jp/security)を定期的に確認し、リリースされた修正が出次第すみやかに適用することを強く推奨する。企業のIT管理者はMDMを通じたアップデート強制適用の体制を改めて確認しておきたい。

筆者の見解

Appleの「ウォールドガーデン」は長年、Windowsに対するセキュリティ優位性の象徴として語られてきた。しかし今回の手口が示すのは、「認証の仕組み自体が完璧であっても、その発行元である人間(開発者)を攻撃すれば迂回できる」という冷静な事実だ。これはAppleに限った問題ではなく、あらゆる信頼チェーンに内在する構造的な脆弱性でもある。

Gatekeeperのような技術的防壁は必要条件ではあっても十分条件ではない。「仕組みを禁止で守る」アプローチには必ず人間的な抜け道が生まれる。重要なのは、信頼チェーンのどこにリスクがあるかを理解した上で、開発者教育・MDM管理・アップデートの即時適用といった多層的な対策を組み合わせることだ。

Appleが迅速にホットフィックスを展開することを期待したいが、それを待つ間にも開発者コミュニティ全体でソーシャルエンジニアリングへの警戒意識を高めることが、現状での最も有効な防衛線になる。

出典: この記事は 100 million Mac users at risk: Hackers are hijacking ‘verified’ apps to sneak past your Mac’s security の内容をもとに、筆者の見解を加えて独自に執筆したものです。