これまでランサムウェア攻撃は主にWindowsとLinuxのシステムをターゲットにしていましたが、最近ではサイバー犯罪者がmacOSユーザーを狙い始めていることが報告されています。新たに発見されたmacOS.NotLockBitというマルウェアは、この脅威の本格的な始まりを示唆しており、Macユーザーに対するランサムウェア攻撃の増加を予告するものです。

macOS.NotLockBitの発見とその機能

Trend Microの研究者によって発見され、その後SentinelLabsによって分析されたmacOS.NotLockBitは、ファイルのロック機能とデータの持ち出し機能を備えており、Macユーザーにとって大きなリスクとなっています。これまでは、macOSを狙ったランサムウェアは、ファイルを確実にロックしたりデータを持ち出したりする能力が欠けていましたが、macOS.NotLockBitはその限界を突破しています。従来、macOSはAppleの**透明性、同意、管理（TCC）**セキュリティ機能によりこうした脅威に対して比較的安全だと考えられてきましたが、この新たなマルウェアは、Appleデバイスをターゲットにするサイバー犯罪者の技術が進化していることを示しています。

macOS.NotLockBitの仕組みとターゲット

macOS.NotLockBitは、他のランサムウェアと同様に、macOSシステムをターゲットにしますが、特定の条件が整わないと実行されません。Intel製のMacや、RosettaエミュレーションソフトウェアがインストールされたApple Silicon搭載のMacでのみ動作し、システム情報（製品名、バージョン、アーキテクチャなど）を収集した後、ファイルを暗号化し、データをAWS S3というリモートサーバーに送信します。

このマルウェアは非対称暗号化を使用しており、攻撃者のプライベートキーなしではファイルの復号がほぼ不可能です。ファイルが暗号化されると、それらは**“.abcd”**という拡張子が付けられ、README.txtファイルが暗号化されたディレクトリに配置されます。このファイルには、身代金を支払うことでファイルを復号する方法が説明されています。

TCC保護と将来のバージョン

最新のmacOS.NotLockBitのバージョンは、LockBit 2.0のブランドを模倣し、AWS S3クラウドストレージを利用して盗まれたファイルを持ち出す機能も追加されました。しかし、AppleのTCC保護は依然としてこのマルウェアにとって大きな障害となっています。この保護は、ユーザーの同意がないと、敏感なディレクトリへのアクセスやプロセス制御を許可しないため、完全な機能を発揮するのは難しい状況です。TCCの回避は不可能ではありませんが、将来のバージョンではこの保護を突破する手段が開発される可能性があります。

継続的な開発と今後の脅威

macOS.NotLockBitの配布方法はまだ明確には特定されていませんが、マルウェアの急速な進化は、攻撃者がその機能を改善するために積極的に取り組んでいることを示しています。初期のバージョンでは暗号化機能のみが搭載されていましたが、後のバージョンではデータの持ち出し機能が追加され、AWS S3の認証情報をハードコードして、被害者のデータを保存する新しいリポジトリを作成していました。最新のバージョンでは、macOS Sonomaに対応し、コードの難読化技術も見られ、ウイルス対策ソフトウェアによる検出回避が試みられています。

macOS.NotLockBitが進化を続ける中、Macユーザーは引き続き警戒を強めるべきです。このマルウェアの登場は、サイバー脅威の風景が変化していることを示しており、ランサムウェアグループがAppleのエコシステムをターゲットにするようになったことを意味しています。