MacOSがマルウェアに対処する方法

公開: 2019-02-28

Macはウイルスの影響を受けないままであると常に主張されています。 まあ、実際には不可能です! すべてのデバイスが感染しやすく、技術の進歩により、不可能なことは何もありません。

MacOSは感染しますが、これはMacOSにマルウェアに対する保護機能が組み込まれていることでもあります。 これらの方法は非常に効果的な場合もありますが、無能な場合もあります。 この投稿では、MacOSの機能がマルウェアから保護するためにどのように機能するかについて説明します。

検疫

機能の1つは検疫です。 インターネット経由でMacにアプリをダウンロードするときは常に、検疫「フラグ」のタグが付けられます。 このようなダウンロードしたファイルを開こうとすると、MacOSはいくつかのチェックを実行します。

アプリが確認されると、MacOSは、インターネットからダウンロードしたアプリにアクセスしていることを警告するメッセージを表示します。 ファイルが別の種類としてマスクされている場合は、ファイルの使用を開始できるようにする必要があります。

アプリを初めて起動すると、隔離フラグが削除され、他のチェックも削除されます。

検疫中の抜け穴

これらは、アプリが検疫フラグのタグを付けられずにハードドライブに到達するためのいくつかの方法ですが。

  • トレントアプリとダウンローダー
  • 検疫フラグが削除された後、誰かがアプリを別のMacにコピーした場合。
  • 合法的なダウンロード方法を経ることなくファイルの形成を可能にする抜け穴は、ハードドライブ上でフラグのないアプリを可能にします

ゲートキーパー

アプリがインターネットからダウンロードされるたびに、隔離フラグがタグ付けされます。 最初のチェックの1つは、アプリのコード署名です。 コード署名は、アプリの開発者を検出する暗号化データの一部であり、これを使用して、アプリが干渉されているかどうかを確認できます。 これは、99ドルの開発者アカウントに含まれているAppleによる証明書に依存しています。

アプリが干渉されたことを示す署名があった場合、またはAppleから提供された証明書が取り消された場合、MacOSはアプリを実行しません。

GateKeeperの抜け穴

残念ながら、ゲートキーパーは完璧なツールではなく、上記の理由により、隔離によって弱体化されます。 ゲートキーパーチェックは、隔離されていないアプリに対しては実行されないためです。

したがって、クリーンなアプリをダウンロードしてシステムにインストールしている場合は、感染したプロセスをバックグラウンドでダウンロードする可能性があります。 また、ゲートキーパーは隔離されていないため、コード署名を確認できません。

また、Macにインストールされているアプリが悪意のあるものであることが判明し、Appleがその開発者証明書を取り消した場合、アプリはすでにMacにインストールされているため、引き続きMacで実行されます。

また、マルウェアはMac上のアプリに影響を与えて変更する可能性があり、マルウェアの検出が非常に困難になります。

また読む:マルウェアはあなたの自動車にどのように影響しますか?

XProtect

基本的なウイルス対策機能であるXProtectは、Macの保護ツールの一部でもあります。 この機能は、検疫にも関連しています。 したがって、開こうとするすべての隔離されたアプリは、XProtectを超えて実行されます。 アプリは、すべてのルールが満たされた場合にのみ開きます。

XProtectの抜け穴

ゲートキーパーと同様に、XProtectにもいくつかの脆弱性があります。 隔離されていない場合、そのうちの1つはアプリをルールと照合できません。

もう1つは、現在の脅威に対する保護が提供されるかどうかがわからないことです。

マルウェア除去ツール

2012年、ハッカーはJavaの脆弱性を利用してMacOSを攻撃しました。この脆弱性の下では、WebサイトにアクセスするだけでマルウェアをMacにインストールできます。 MacOSはこの問題に対処する準備ができていませんでした。 したがって、AppleにはMRT、マルウェア除去ツールが含まれています。

マルウェア除去ツールはブラックボックスであり、その実行方法を誰も知らず、ユーザーに警告することなくサイレントに動作します。 このツールの目的は、検出されたマルウェアを排除することです。

MRTの抜け穴

XProtectと同様に、マルウェア除去ツールは設定されたルールでのみ機能し、既知のマルウェアを検出します。 これらのルールがどのように機能するかについての情報がないため、ツールの機能を判断できません。 また、MRTが新しいマルウェアを検出できるかどうかもわかりません。

システム整合性保護

システム整合性保護では、システムファイルを変更できません。 このツールは、ユーザーがMac上の多数の制限されたファイルを変更できないため、「ルートレス」とも呼ばれます。

これらのファイルに変更を加える場合は、システム整合性保護を無効にしてから、Macを再起動し、リカバリモードで再起動して、ターミナルにアクセスする必要があります。 ターミナルで、「アーケイン」と入力します。 ただし、ほとんどのユーザーは変更を加えたくないでしょう。

システム整合性保護の抜け穴

制限があるため、このツールは悪意のあるファイルからシステムを保護するのに効果的なツールのようです。 しかし、それは真実ではありません。 SIPの前は、ファイルに変更を加えることができるマルウェアがいくつかありましたが、現在はSIPによって保護されています。

ただし、一部のマルウェアはroot権限を使用せずにMacに感染する可能性があります。つまり、SIPは、悪意のあるアプリを開いたときにMacに密かに感染するマルウェアからMacを保護することはできません。

透明性、同意、および管理

透明性、同意、および制御は、MacMojaveに最近追加された機能です。 外部アクセスからユーザーデータを保護します。 この機能の目的は、アプリがブラウザーの履歴を消費しないようにすることです。

必読: DarthMiner MacMinerを削除する方法

透明性、同意、および管理における抜け穴

これらの継続的なリクエストプロンプトは「ダイアログの疲労」を引き起こす可能性があり、アプリが透明性、同意、制御を超えて到達し、データにアクセスできるようになる可能性があります。

したがって、これらはMacの保護を確実にするためにMacOSによって何年にもわたって導入されたいくつかの機能です。 これらの機能には独自の脆弱性があり、Appleはそれらを克服してMacをより安全にするために取り組んでいます。 それまでの間、ハッカーがこれらの抜け穴を使用してMacに感染しないように注意する必要があります。