新たなMacスティーラーがClaude上でAppleサポートを装う

セキュリティ研究者と『Bleeping Computer』は最近、Macユーザーを狙った新たな攻撃手法を発見しました。攻撃者は共有されたClaudeのチャット画面内でApple Supportを装い、Macに『Claude Code』ソフトウェアをインストールする方法を案内しながら接触してきます。

攻撃手法と特徴

• ターミナルコマンドへの誘導: 偽のチャットを通じて、ユーザーにターミナルコマンドをコピーして実行するよう誘導します。このコマンドを実行すると『Claude Code』環境が構築されるように見えますが、実際にはバックグラウンドでマルウェアをダウンロードし、シェルスクリプトに書き込みます。
• 地域の選別: 一部の亜種は、感染したコンピューターにロシア語または旧ソ連の独立国家共同体（CIS）地域のキーボードが設定されているかを確認します。該当する地域の場合、マルウェアは自ら終了します。
• 揮発的なインストール: このマルウェアは主にメモリ（RAM）内で実行されるため、永続ストレージには明確な痕跡をほとんど残しません。
• データ窃取: インストールされたソフトウェアは、ログイン情報、Cookie、macOSキーチェーンの内容などを収集して攻撃者のサーバーへ送信します。セキュリティ専門家のBerk Albayrakは、これを『MacSync』の亜種と特定しました。

対応と予防

この種の攻撃は、2025年12月にChatGPTやGrokを通じても発生していました。Appleは最新のセキュリティ対策を継続的に強化しています。

• システム警告: macOS 26.4バージョンからは、外部でコピーしたコマンドをターミナルに貼り付ける際、システムレベルの警告メッセージが表示されます。
• 最新アップデートの維持: macOSを常に最新バージョンへ更新し、サードパーティ製アンチウイルスソフトウェアも最新の状態に保つことが推奨されます。