SentinelOneの研究者が2026年5月、macOSを標的とするインフォスティーラー「SHub」の新亜種「Reaper」を発見した。Appleが2026年3月に実装したTerminalベースのセキュリティ対策を巧みに迂回し、AppleScriptを悪用してApple公式のセキュリティ更新ダイアログを偽装する手口が確認されている。Google Chrome・Firefox・Microsoft Edge・1Password・MetaMask・iCloudなど、日常業務でよく使うあらゆるデータが標的だ。

AppleのTerminal対策をわずか数ヶ月で迂回した新手法

従来のSHubは「ClickFix」と呼ばれる手口を使い、ユーザーに悪意あるコマンドをTerminalに貼り付けて実行させていた。Appleは2026年3月にmacOS Tahoe 26.4でTerminalへのコマンド貼り付け・実行をブロックする対策を追加した。

Reaperはこれを回避するため、macOSの正規機能であるapplescript:// URLスキームを利用する。このスキームを使うとmacOSのスクリプトエディタが起動し、悪意あるAppleScriptがあらかじめ読み込まれた状態になる。ユーザーが「実行」ボタンをクリックすると、Apple公式のXProtectRemediatorを引き合いに出した偽セキュリティ更新メッセージが表示され、curlでシェルスクリプトをダウンロードし、zshで静かに実行される仕組みだ。

悪意あるスクリプトのコマンド部分はASCIIアートの下に隠されており、静的解析を困難にしている。

感染前に実施される精密なターゲット偵察

Reaperは感染を試みる前に、訪問者のデバイスを詳細に調査する。

  • 仮想マシン(VM)の利用有無
  • VPNの使用状況
  • インストール済みブラウザ拡張機能(パスワードマネージャー・仮想通貨ウォレット)

これらのテレメトリデータはTelegramボット経由で攻撃者に送信される。分析環境や研究者のマシンへの感染を避けるための措置だ。また、感染実行前にロシア語キーボード・入力メソッドの使用を確認し、一致した場合はC2サーバーへ「cis_blocked」イベントを送信して処理を中断する——いわゆるCIS圏除外の実装だ。

窃取対象:ブラウザからウォレットアプリ本体まで

Reaperが標的とするデータの範囲は広い。

ブラウザデータ: Google Chrome、Mozilla Firefox、Brave、Microsoft Edge、Opera、Vivaldi、Arc、Orion

仮想通貨ウォレット拡張機能: MetaMask、Phantom

パスワードマネージャー拡張機能: 1Password、Bitwarden、LastPass

デスクトップウォレットアプリ: Exodus、Atomic Wallet、Ledger Live、Electrum、Trezor Suite

その他: iCloudアカウントデータ、Telegramセッションデータ、開発者向け設定ファイル

さらに「Filegrabber」モジュールがデスクトップと書類フォルダを走査し、財務情報が含まれそうなファイル(2MB以下、PNGは6MB以下、合計150MB上限)を収集する。

ウォレットアプリが存在する場合はより悪質な攻撃が加わる。正規アプリのプロセスを強制終了し、コアファイルをC2サーバーからダウンロードした悪意あるapp.asarに丸ごと置き換える。Gatekeeperによる警告を回避するためxattr -crでファイルの隔離属性を削除し、アドホックコード署名で正規アプリに偽装する。

感染経路:偽WeChat・Miroインストーラー

ユーザーへの初期誘導には、実在するアプリを模倣した偽インストーラーが使われた。qq-0732gwh22[.]com(WeChatを模倣)、mlcrosoft[.]co[.]com(Microsoftを模倣)、mlroweb[.]com(Miroを模倣)といったドメインが使用されている。Miro偽装ドメインは現在は正規サイトへリダイレクトされているが、WeChat偽インストーラーは依然として配信中だという。なお、WindowsおよびAndroid向けダウンロードボタンはDropboxにホストされた同一の実行ファイルを配信していることも確認されている。

実務への影響

日本のMac利用者、特に以下のような環境では直ちに注意が必要だ。

リモートワーク・副業エンジニア: 個人のMacを業務に使うケースが多く、ブラウザ内の認証情報や開発者設定ファイルが標的になりやすい。

仮想通貨・Web3関連業務: Reaperはウォレットアプリそのものを置き換える手口を持つため、資産喪失のリスクが直接的だ。

IT管理者への推奨事項:

  1. MDMポリシーでmacOSのスクリプトエディタ(Script Editor)の起動を制限することを検討する
  2. エンドポイントセキュリティ製品の導入・シグネチャ更新を徹底する
  3. ユーザー向け周知徹底:「AppleはWebサイトのダイアログ経由でシステムパスワードを要求しない」という一点を組織全体に浸透させる

筆者の見解

セキュリティ領域は正直、得意分野とは言いにくい。が、この攻撃手法の技術的な巧妙さには素直に驚かされる。

Appleが2026年3月にTerminal対策を追加してからわずか数ヶ月で迂回バリアントが登場した——これは「OSベンダーによるパッチとマルウェア開発者の攻防は終わらない」という冷静な現実を改めて示している。applescript://スキームを通じてScript Editorを悪用する手法は、macOSの正規機能を逆手に取った典型だ。Appleがこのスキームにも制限をかければ、攻撃者はまた別の正規機能を探してくる。いたちごっこの構造は変わらない。

一方で救いがあるとすれば、感染の最後のステップは依然として「ユーザーが実行ボタンをクリックする」という人の操作にある。技術的な回避策と同等に、ユーザー教育が有効に機能する余地がまだある。「Appleが公式セキュリティ更新をブラウザのダイアログで提供することはない」——この認識を組織のユーザー全員が持っているだけで、相当数の感染を防げるはずだ。

ゼロトラストの観点でも示唆は大きい。ウォレットアプリがapp.asarを丸ごと置き換えられてしまう脆弱性は、アプリ側の自己整合性検証の甘さでもある。認証・認可を人からNHI(Non-Human Identities)に移行する議論が進む中、アプリ自体の改ざん検知も同様に重要な課題として認識してほしい。

出典: この記事は SHub macOS infostealer variant spoofs Apple security updates の内容をもとに、筆者の見解を加えて独自に執筆したものです。