act2 ブログ: Mac

ラベル Mac の投稿を表示しています。すべての投稿を表示

2023年9月6日水曜日

260万の Duolingo ユーザアカウントがデータ漏洩？！

みなさん、こんばんは。

この記事は、2022年7月18日にJoshua Long 氏によって Mac Security Blog に投稿されたポストを報告するものですが、その内容には私も驚きました。

https://www.intego.com/mac-security-blog/author/joshlong/ Duolingoは人気の高い言語学習アプリであると共に7,400万の月間アクティブユーザを持つサイトでもあります。同社は最近のデータ漏洩により、260万のユーザの電子メールアドレスとその他の情報を露出させてしまいました。

今回は、この件について分かっている事を紹介します。

Duolingoのユーザデータ漏洩はいつ起きたのか 2023年１月にハッキングフォーラムのユーザが同サービスの260万のユーザの電子メールアドレスを持っており、それを$1,500あるいは最も高い付け値で販売すると表明しました。

https://twitter.com/FalconFeedsio/status/1617735519194214413 Duolingのデータ漏洩で露出した情報電子メールアドレスと共に、他のデータも漏洩しています。漏洩したデータには、ユーザの本名、ユーザ名、アカウントアバター、バイオ、そして言語が含まれているようです。

さらにその電子メールアドレスが確認されているか、FacebookあるいはGoogleアカウントに接続されているかの情報も含まれているようです。幸運にも、漏洩したデータにパスワードは含まれていません。

漏洩したデータについて書き込まれたのと同じ日に、セキュリティニュースサイトであるThe RecordがDuolingoに連絡をとりました（https://therecord.media/duolingo-investigating-dark-web-post-offering-data-from-2-6-million-accounts）。

同社の回答は、次のようなものでした: 「こうしたデータは、公開されているプロフィール情報をデータスクレーピングすることで抽出されています…」「データ漏洩あるいはハッキングがあったわけではありません。弊社ではデータのプライバシーおよびセキュリティを重視しており、弊社の学習者を保護するためにさらなる対応が必要かどうかを判断するために調査を続けています。」 Duolingのデータ漏洩の問題が広く露出して再浮上８月21日に著名なマルウェアリポジトリであるvx-undergroundのX（Twitter）アカウントが８月21日の侵害について投稿しました（https://twitter.com/vxunderground/status/1693742275145150927）。この投稿では、Duolingoのアカウント情報は“Duolingo APIのバグ”を介して取得されたとしています。

フォロワーの一人が、このAPIバグはすでに知られている不具合であると返信しました（https://twitter.com/bouddddddddddda/status/1693748077511721125）。Duolingoに登録されている電子メールアドレスを知っていれば、誰でもサイトに対してクエリ（データの問い合わせ）をするだけでこうした情報について知ることができるというのです。

多分、これが漏洩者が当初の260万のアカウント情報を取得した方法でしょう。この漏洩者が手元の電子メールアドレスに関する数百万の問い合わせをDuolingoに送り、Duolingoのサーバが一致したデータを返信してきたのだと考えられます。

セキュリティニュースサイト、BleepingComputer（ https://www.bleepingcomputer.com/news/security/scraped-data-of-26-million-duolingo-users-released-on-hacking-forum/ ）では、vx-undergroundは現在では完全に公開されている１月に漏洩したとされるものと同じデータを別のハッキングフォーラムで金銭のやり取りもなく見つけたとしています。

８月22日に、BleepingComputerは同じAPIが今でも１月に漏洩したデータを取得するために悪用されたのと同じスクレーピング攻撃の対象となり得ることを確認しました。このニュースサイトによれば、DuolingoになぜこのAPIがそのままなのか問い合わせたが同社からの回答はまだないということです。

最後に、８月23日に著名なデータ漏洩情報サイトであるHave I Been Pwnedがそのデータベースにこの260万以上の電子メールアドレスを追加しました（ https://haveibeenpwned.com/PwnedWebsites#Duolingo ）。Duolingoの漏洩で（あるいは700におよぶ他のデータ漏洩またはデータ侵害で）自分の電子メールアドレスが漏洩していないか確認したければ、該当アドレスをhaveibeenpwned.com（ https://haveibeenpwned.com/ ）で検索するだけでわかります。

このようなデータ漏洩による被害を最小限で食い止めるには残念なことに、企業が顧客情報を露出させてしまうことはままあり、しかもその問題をあまり重要視しないということがあります。

ユーザがこうした漏洩で自身の情報の露出を防ぐ方法の一つは、各サービスごとに専用の電子メールアドレスを使うことです。ありがたいことに、これは思ったほど面倒臭くありません。複数の電子メールアカウントを作成する必要もなく、それぞれ個別に確認する必要もありません。匿名電子メール転送を提供する主なサービスが、少なくとも２つあります。

一つ目は、月間130円から使えてiOSおよびmacOSに内蔵されているAppleのiCloud+サービスの一部であるメールを非公開です。二つ目はちょっと使い方が面倒ですが無料のDuckDuckGo Email Protectionです。メールを非公開とDuckDuckGo Email Protectionを比較した弊社の記事（ https://www.intego.com/mac-security-blog/which-is-better-apples-hide-my-email-or-duckduckgo-email-protection/ ）も参照ください。

また、Intego Mac Podcastのエピソード255（ https://podcast.intego.com/255 ）でもこれらの電子メールプライバシーサービスについて触れています。

■お使いのMacは安全ですか？ Mac用のセキュリティソリューションを検討しているなら、ACT2の次のIntego製品ページで機能や目的に合った製品があるかご確認ください: https://www.act2.com/intego

あまり知られていない macOS の便利な６個の機能

この記事は、2023年8月18日にKirk McElhearn（https://www.intego.com/mac-security-blog/author/kirk-mcelhearn/）によってMac Security Blogに投稿された6 Cool macOS Features You Probably Don’t Know Aboutの翻訳です）

macOSに搭載されたたくさんの機能の内、実際に皆さんが使っているのは一部だけでしょう。画面に表示されているから知ってはいるけど、使ったことはないという機能もたくさんあるはずです。

さらにシステム設定の中には、皆さんが気づいていないだけで本当は便利な機能が隠されています。今回はお使いのMacをより便利に、より楽しく使えるようになるmacOSの６個の機能を紹介します。

1. 画面をズーム多くのアプリでcommandキーと+（プラス）キーを同時に押すと表示フォントのサイズが大きくなることはよく知られているでしょう。commandキーと-（マイナスまたはハイフン）キーで小さくすることもできますよね。でも、画面全体をズームできることはあまり知られていないと思います。これは画面上に小さく表示されているものを一時的に大きく表示したいけれど、前述の方法を使いたくない、あるいは前述の方法では期待通りの結果にならない場合に便利です。また画面の周りに集まっている人たちに画面を見せる必要がある場合にも重宝するはずです。この画面をズームする便利な機能は、macOSのアクセシビリティ設定に隠されています。システム設定 > アクセシビリティを開いたら、視覚という項目内のズーム機能をクリックしてください。 https://www.intego.com/mac-security-blog/wp-content/uploads/2023/06/zoom.png 上の図でわかるように、画面をズームする際の動作としてはキーボードショートカット、トラックパッドのジェスチャ、あるいは修飾キーを併用したスクロールジェスチャを指定できます。私は最後の方法を使っています。例えば、controlキーを押した状態で上スクロールすると画面がズームしていきます。controlキーを押したまま下スクロールするとズームが解除されます。新たにキーボードショートカットを覚えるよりこの方が簡単で実用的だと思うし、スクロールの動作を使うことでズーム倍率を細かく制御できるのです。この機会にそのほかのズーム関連オプションも試しておいてください。

2. 雰囲気を出すためのバックグラウンドサウンド静かな方が仕事が捗ると言う人がいる一方で、ちょっとだけバックグラウンドサウンドがあった方が集中できると言う人もいます。雨とか海とかせせらぎとか、単なるホワイトノイズなどですね。システム設定 > アクセシビリティを開き、聴覚という項目でオーディオをクリックしてください。画面のちょっと下の方にバックグラウンドサウンドがあります。Appleは、こうしたサウンドが集中したり休んだり心を落ち着かせるのを助けると言っています。 https://www.intego.com/mac-security-blog/wp-content/uploads/2023/06/background-sounds.png 正直なところ、雨はうるさすぎてリラックスできるとは思えません。海はあんまりリアルじゃないです。せせらぎならリラックスできそうだし、ノイズも音量を下げるとリラックスできると思います。別のサウンドを試してみたい場合で、Apple Musicのサブスクリプションを利用しているなら、自然音などで検索すると利用できるサウンドがたくさん見つかるでしょう。

3. Macに話しかける私は、長年にわたりMacで音声入力しています。以前はDragon Naturally Speakingのような商用ソフトを使っていましたが、最近になってmacOS内蔵の音声入力機能で十分だと思うようになりました。システム設定 > キーボードを開き、ちょっと下の方にある音声入力という項目で機能をONにできます。 https://www.intego.com/mac-security-blog/wp-content/uploads/2023/06/dictation.png マイクキーを押すか指定したショートカットキーを２回続けて押すと音声入力が開始し、話しかけている間は小さなマイクのアイコンが表示されます。 https://www.intego.com/mac-security-blog/wp-content/uploads/2023/06/dictation2.png 音声入力をしている間は、使っているMacが使用中のアプリで単語を文字に変換していきます。なお、句読点や記号などは「くてん」、「とうてん」、「ぴりおど」、「かっこ」、「かっことじ」、などと声に出す必要があるので注意してください。句読点や特殊文字を音声入力する方法を説明するAppleのサポート書類もあります（ https://support.apple.com/ja-jp/guide/mac-help/mh40695/13.0/mac/13.0 ）。キーボードでどのキーでも良いのでキーを押せば音声入力は終了します。近日公開となるmacOS Sonomaでは、キー入力しながら音声入力もできるようになります。音声入力を最大限に活用したければ、私が10年ちょっと前にTidBITSのために書いたこの記事も参照ください（ https://tidbits.com/2012/07/31/take-a-memo-ten-tips-for-successful-voice-dictation/ ）。この記事に書いた多くの方法が、macOSの内蔵機能を含めた現在のほとんどの音声入力ソフトウェアでも適用できます。

4. 通知音が鳴るときに画面を点滅お使いのMacで何か問題が起きると通知音がなります。静かな場所なら問題ありませんが、例えば仕事中に音楽を聴いているような場合、あるいはMacを消音している場合、通知音は聞こえません。この通知音が鳴るときに画面を点滅させる機能は、システム設定 > アクセシビリティ > オーディオ設定にあります。 https://www.intego.com/mac-security-blog/wp-content/uploads/2023/06/flash-screen.png 下の画面を録画したビデオでは、通知音の再生ボタンがクリックされると画面がちょっと白く点滅しているのがわかるでしょう。 https://www.intego.com/mac-security-blog/wp-content/uploads/2023/06/flash-screen.mp4

5. マウスポインタをシェイクして見つけるディスプレイが大きくなるとマウスポインタ（カーソル）が相対的にに小さくなるため、どこにあるのか見失うことがあるでしょう。ポインタを探してマウスを動かしたりトラックパッド上で指を動かしてみても、パッとはわからないことがあります。アクセシビリティには、マウスをシェイクするとマウスポインタを大きく表示する便利な機能があります（トラックパッドの場合はトラックパッド上で指を素早く行ったり来たりさせます）。アクセシビリティ > ディプレイを開き、少し下のポインタという項目にあるマウスポインタをシェイクして見つけるをONにします。これで、シェイクするとマウスポインタが大きく表示されるようになります。 https://www.intego.com/mac-security-blog/wp-content/uploads/2023/06/mouse-pointer.png 上のスクリーンショットでは、私のマウスポインタのサイズがデフォルトのサイズよりさらに大きいことがわかるでしょう。この方が自分の環境ではわかりやすいのです。皆さんも自分のMacで最適なサイズを見つけてください。

6. Apple WatchでMacをアンロック使っていない時には、Macをロックするべきです（ https://www.intego.com/mac-security-blog/how-to-lock-your-mac-screen-and-protect-it-from-prying-eyes/ ）。そしてアンロックする際には毎回パスワード（あるいはTouch ID）を要求するように設定し、かつパスワードを要求するまでの時間は「すぐに」に設定するべきです（ロックしたら即座にアンロックのためのパスワードを要求する状態になります）。この設定はシステム設定 > ロック画面の「スクリーンセーバの開始後または...」設定を見てください。とは言え、Macを使おうとするたびに毎回パスワードを入力するのは面倒です。セキュリティを強固にするために長いパスワードを設定している場合は、特に面倒でしょう。Touch IDを搭載するMacならMacをアンロックするのは指を押し付けるだけで簡単です。お使いのMacにTouch IDがなくても諦めるのはまだ早いです。Apple Watchをお持ちなら、Apple WatchでMacをアンロックするように設定できます。システム設定 > Touch IDとパスワードを開いた際、Macと同じApple IDでサインしているApple Watchを持っているなら、そのApple WatchでMacをアンロックできる設定が表示されます。ONになっていると、Macのキーボードで何かキーを押すだけでMacがApple Watchと通信し、Apple Watachが近くにあってアンロックされたことを確認するとMacがアンロックされます。 https://www.intego.com/mac-security-blog/wp-content/uploads/2023/06/apple-watch-unlock.png こうしてMacがアンロックされると、ウォッチ側に触覚フィードバックがあり通知も表示されます。 https://www.intego.com/mac-security-blog/wp-content/uploads/2023/06/apple-watch-notificaiton.png ただし注意も必要です。誰かがMacをアンロックしようと試みた際に、あなたがMacの近くにいると意図せずにアンロックしてしまう可能性があるのです。なので、事務所など近くにいつも人がいる環境ではこの設定をONにしてはいけません。例えば、私の寝室は私のホームオフィスの真上の部屋なんですが、私が寝室にいる時にもMacがアンロックすることがあるのです。愛猫には机に上がってはいけないと言い聞かせているのですが、もともと人の言うことなんて聞かないですからね。

2023年8月19日土曜日

ビデオゲームに擬態するRealstと呼ばれるMacスティーラマルウェアはmacOS Sonomaにも対応

みなさん、こんにちは！

本日２通目ですね、スミマセン！
Intego の新しいイメージキャラクタ "KEIJIくん" です！
どうぞよろしくお願い申し上げます。

ビデオゲームに擬態するRealstと呼ばれるMacスティーラマルウェアはmacOS Sonomaにも対応（この記事は、2023年8月4日にJoshua Long（https://www.intego.com/mac-security-blog/author/joshlong/）によってMac Security Blogに投稿されたMac stealer malware Realst disguises itself as video games, is macOS Sonoma-readyの翻訳です）

７月初旬にマルウェア研究者、iamdeadlyz が Realst Stealer と呼ばれる Mac を狙う新しいマルウェアについて詳細な報告を発表しました。
iamdeadlyz は、少なくとも昨年から RedLine Stealer、PureLand、そして暗号通貨を盗む関連するマルウェアについて調査してきました。

その過程で、何人かがいくつかの偽のビデオゲームについて iamdeadlyz に報告しています。こうした偽ゲームは、それぞれ独自の Twitter および YouTube アカウント、Discord サーバ、ブログなどを持つため一見公式のように見えるのです。しかし、こうしたゲームだと思われていたプログラムがトロイの木馬マルウェアであることがわかったのです。また、同じマルウェアグループが最新の偽ゲームを開発しているようにも見受けられます。

そんなゲームのすべてではありませんが、いくつかは、さまざまなブロックチェーンを採用しているか、NFT（非代替トークン）ゲームだと説明されています。ビックリです！
ブロックチェーン（ https://ja.wikipedia.org/wiki/%E3%83%96%E3%83%AD%E3%83%83%E3%82%AF%E3%83%81%E3%82%A7%E3%83%BC%E3%83%B3 ）および非代替トークン（ https://ja.wikipedia.org/wiki/%E9%9D%9E%E4%BB%A3%E6%9B%BF%E6%80%A7%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3 ）は、特に暗号通貨を所有する人たちが興味を持つ技術です。つまり、こうした偽ゲームの開発者は暗号通貨ウォレットを持つ人たちを標的にしているのです。

Realst Stealerマルウェアは何をするか

Realst Stealer の主な目的は、感染した Mac で暗号通貨ウォレットを盗むことだと考えられています。Realst は、少なくとも10の異なる暗号通貨ウォレットのブラウザ機能拡張を標的にしています。

しかし被害者がブロックチェーンやNFTに関心のない人の場合、このトロイの木馬マルウェアは macOS のキーチェーンを抜き出そうと試みます。
またユーザが Mac に Telegram（ https://www.intego.com/mac-security-blog/6-secure-messaging-app-options-for-mac-and-ios/ ）メッセージアプリをインストールしていると、そのデータも標的にします。

Realst Stealer は、Apple の Safari と Microsoft の Edge という２つの例外を除き、すべての主な Mac 用ブラウザ（ https://www.intego.com/mac-security-blog/safari-chrome-firefox-which-is-the-most-private-browser-for-mac/ ）を標的にしています。Safariが対象にないのは開発者が Windows マルウェアの開発の方が得意なんだろうと考えれば納得できますが、Windows に付いていて Realst が狙う他のブラウザ同様に Chromium を採用する Edge が対象にない理由は定かではありません。

このマルウェアは、Google Chrome、Mozilla Firefox、Brave、Opera、Opera GX（いわゆるゲームブラウザ）、そして Vivaldi を標的にしています。

Realst Stealer が擬態するゲーム

分かっている主なトロイの木馬ゲームの名称は次のとおり:

・Brawl Earth（そのTwitterユーザ名はbrawlearth）

・Dawn Land MetaWorld（あるいはDawnLand Meta World、Dawn Land Metaverse、DawnMetaWorld、Meta_Dawn、またはVersePearl）

・Destruction（あるいはMetaDestruction、DestructionNFT、またはDestructionWeb3）

・Evolion（あるいはEvolionGameまたはEvolionLand）

・Guardians of the Throne（そのTwitterユーザ名はGuardiansMeta）— 同じ名称のAndroidゲーム（ https://play.google.com/store/apps/details?id=com.elight.got.gp&hl=ja_jp ）とは違うものです。

・Olymp of Reptiles [原文ママ] （そのTwitterユーザ名はolympreptiles）

・Pearl Land Metaverse（Twitterでは VersePearlでした）

・RyzeX（そのTwitterユーザ名はRyzeX_web3）

・Saint Legend（TwitterではPlaySaintLegendでした）

・WILDWORLD（そのTwitterユーザ名はWildmenWorld）

驚くべきことに、こうしたトロイの木馬ゲームのいくつかは今も Twitter/X のアカウントが削除されたり停止されていません。
“brawlearth”アカウントは、そのプロフィール画像、名前、バイオ、そしてロケーションは除去されていますが、それ以外のGuardiansMeta、olympreptiles、RyzeX_web3、そしてWildmenWorldの４つのアカウントは、3月、4月、6月から使用されていないもののオープンのままです。

サンプルによってはmacOS Sonomaに対応

Macマルウェア研究者、Phil Stokes氏は、Realst Stealerの最新の調査でいくつかのサンプルのコードにAppleのMac用次期オペレーティングシステムであるmacOS Sonomaが出てくると書いています（ https://www.sentinelone.com/blog/apple-crimeware-massive-rust-infostealer-campaign-aiming-for-macos-sonoma-ahead-of-public-release/ ）。

これはRealst Stealerの開発者がAppleの新しいOSが華々しく登場した初日には対応しているように、今からSonomaのベータ版で試験していることを示唆します。

Realst StealerのようなマルウェアからMacを守り、除去する方法

Integoのバンドル製品に含まれているIntego VirusBarrier X9（ https://act2.com/intego ）は、Realst Stealerおよび同種のMacを狙う脅威を検出して除去できます。

お使いのMacがマルウェアに感染したと信じる理由があるなら、あるいは今後の感染からMscを守りたいなら、信頼できるMacの開発者が提供するアンチウイルスソフトを導入するべきです。多くの受賞歴を持つVirusBarrierは、Macのセキュリティの専門家によって開発されているリアルタイムスキャン機能を持つアンチウイルスソフトです（ https://www.intego.com/mac-security-blog/why-your-antivirus-needs-real-time-scanning/ ）。Appleシリコンを搭載してmacOS Venturaを実行する最新のMacを含む、多くのMacの機種とオペレーティングシステムのバージョンにネーティブ対応しています。

注意: 古いバージョンのMac OS XでIntegoのVirusBarrier X8、X7、あるいはX6シリーズをお使いのユーザもこの脅威から保護されます。しかし、お使いのMacをAppleによる最新のセキュリティアップデートで保護するためにも、可能であれば常に最新のVirusBarrierおよびmacOSをお使いください。

お使いのMacは安全ですか？

Mac用のセキュリティソリューションを検討しているなら、act2.com の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:

https://act2.com/intego

May the FORCE be with you!

株式会社アクト・ツー
Software Product Team

2023年8月9日水曜日

ChatGPTがダークウェブでMacを狙うマルウェアを見つけたの？

みなさん、こんにちは！

いつも act2メルマガをご覧いただき、誠にありがとうございます。

沖縄、九州方面のみなさま、早く台風が去ってくれることを祈っています。

ChatGPTがダークウェブでMacを狙うマルウェアを見つけたの？ HVNC macOSの亜種の報告（この記事は、2023年8月4日にJoshua Long（https://www.intego.com/mac-security-blog/author/joshlong/）によってMac Security Blogに投稿されたDid ChatGPT find Mac malware on the Dark Web? Report of HVNC macOS variantの翻訳です）

先日、ShadowVault（https://act2blog.blogspot.com/2023/07/mac-mac-shadowvault2023713joshua-long.html）を発見したと発表した研究者のグループが、再度ニュースを賑わせました。

Mac関連ニュースサイトのいくつかが「ChatGPTがダークウェブでMacのマルウェアを発見」といったヘッドラインで報じたものです。実際、2023年はニュースでChatGPT—および他の人工知能ボット—の名前を聞かないことはありませんから、然もありなんと思う人も多いでしょう。

しかし、事実は注目されるほどのことではありませんでした。この研究者グループは、ChatGPTに「Hey, do you think there’s more Mac malware out there?（もっと多くのMacを狙うマルウェアが存在していると思うかい？」と聞いただけです。そしてChatGPTの回答は「Yeah, probably.（はい、多分そうだと思います）」でした。そして研究者たちは「Okay, cool, we’ll go back to doing our jobs now, and try to find some.（なるほど、じゃぁいつものように探してみるね」というわけです。

そう、これだけのことです。

ただし、その結果として研究者が発見したとする内容はもう少し面白いものです。

HVNC ハッキングツールの macOS 版なのか

この研究者グループのいつものやり方なんだと思いますが、新しいMacマルウェアの証拠を求めて“ダークウェブ（サイバー犯罪者フォーラム）”を見て回りました。

彼らはRastaFarEyeと呼ばれる信用するに値する*と考えられる脅威アクターによるフォーラムへの投稿を見つけたとしています（*当たり前ですが、人物として信頼できるという意味ではなくサイバー犯罪者のフォーラムにおける犯罪者の“信頼度”という意味です）。この脅威アクターは、$60,000から始まる“ライフタイム価格”で購入者は“macOS Secure-Websocket HVNC”が利用できるようになるとしています。

簡単に言うと、バックドアあるいはリモートアクセスのトロイの木馬（RAT）を販売しているわけです。VNCはバーチャル・ネットワーク・コンピューティングの略で1990年代後半から使われている技術であり、現在のmacOSにも内蔵されています。許可を得ている人なら、リモートでコンピュータを制御することができる技術です。HVNCはVNCの悪質版で、被害者が知らないうちに、あるいは被害者の許可がなくても完全にバックグラウンドで動作するのでhiddenを意味するHが付けられています。

このMac HVNCの亜種は、悪意を持った誰かがリモートでファイルにアクセスできるといったいくつかの機能を持っていると考えられます。また管理者権限を取得し、Macが再起動する度にバックグラウンドで自動起動するように自らをインストールすることができるとも考えられています。こうした特徴は、バックドアマルウェアにはよくあるものです。

現状では、これが“macOS HVNCツール”について分かっているほぼすべてです。この研究者グループはサイバー犯罪者に数百万円も払いませんでしたので、スクリーンショットやサンプル、あるいはそのようなツールが実在することを示す証拠は何もありません。

IntegoでもMac版のHVNCを探してみましたが、現段階では確かなサンプルは見つかっていません。

HVNCのようなマルウェアからMacを守り、除去する方法

今の所、確かにMac版のHVNCであると分かっているサンプルを持っている人はいません。この新しいMacマルウェアが販売された証拠もありませんが、IntegoではすでにWindows版のHVNCは検出できますし、常に新しいMacのバックドア、RAT、そして他のスパイツールやマルウェアを定義ファイルに追加しています。

Integoのバンドル製品に含まれているIntego VirusBarrier X9（ https://act2.com/intego ）は、Macを狙うHVNCのようなバックドアスパイウェアを検出して除去できます。

お使いの Mac がマルウェアに感染したと信じる理由があるなら、あるいは今後の感染からMscを守りたいなら、信頼できる Mac の開発者が提供するアンチウイルスソフトを導入するべきです。多くの受賞歴を持つ VirusBarrier は、Mac のセキュリティの専門家によって開発されているリアルタイムスキャン機能を持つアンチウイルスソフトです（ https://www.intego.com/mac-security-blog/why-your-antivirus-needs-real-time-scanning/ ）。Appleシリコンを搭載してmacOS Venturaを実行する最新のMacを含む、多くのMacの機種とオペレーティングシステムのバージョンにネーティブ対応しています。

■お使いのMacは安全ですか？

Mac用のセキュリティソリューションを検討しているなら、act2.com の次の Intego 製品ページで機能や目的に合った製品があるかご確認ください:

https://www.act2.com/intego

株式会社アクト・ツー
Software Product Team
 一同

2023年8月1日火曜日

macOS Ventura に完全対応した TechTool Pro 18 が新登場（サブスクにも対応！）

みなさま、こんにちは。

お待たせいたしました！

TechTool Pro が macOS Ventura に完全対応し、v.18 としてリリースいたします。（2023/8/1 販売開始）

メルマガ購読者の多くの皆様には、すでに古くからご愛用いただいておりまして、誠にありがとうございます。

皆様ご承知のように、かつてはディスクのメンテナンスツールとして Apple ケアに公式採用されておりました。今日では Mac の総合的な「健康管理ツール」のデファクトスタンダードとして広くご愛用いただいています。

「あなたの Mac は健康ですか？」

このキャッチフレーズのもとに、ストレージに関するハードウェア的な診断だけでなく、論理的な診断・修復、そして、メイン RAM やビデオメモリ、ネットワーク機能、各種の複雑なセンサーなど、さまざまな側面から、Mac をテストし、不具合の修復を試みます。

これらによって得られるメリットは：

１）不具合の検出・修復

２）論理的なボリューム構造のリビルドによるパフォーマンス劣化の阻止

３）不測の事態が起きる前に、その兆候を察知して、未然にトラブルを回避する

など、文字通り、Mac を常に健全な状態で維持することができます。

v.18 の特長は、

【１】何と言っても、まず、最新の macOS “Ventura” への完全対応が挙げられます。OS の診断は非常にデリケートな処理を要求されます。TechTool Pro のようなシステムユーティリティにとって、OS へのキャッチアップは、その OS の完全版がリリースされてからでないと確実な開発作業が不可能であること。また、その作業自体は、例えば何か新しい機能を付加することよりも何倍もの労力を要することから、とてもたいへんな開発作業になります。特にクローニングツールにおいては大幅な変更が加えられました。しかし開発チームはそれをやり遂げました。

【２】また、従来から多くのリクエストを頂いておりました「テストのスケジューリング機能」が搭載されました。これによって、ついおろそかになりがちな「フルテスト」も忘れることなく実行させることができます。

【３】その他にも特筆すべき点として、「セキュリティチェックツール」の搭載があります。Mac のセキュリティ脆弱性をチェックし、問題は重要度に応じてランク付けされ、対処方法も提示されます。貴重なデータを潜在的な脅威から保護するための正しい選択が可能になりました。

さらに、すでにご体験いただいているユーザー様も多いと思いますが、

バージョン17から搭載されている TechTool Monitor が最新 macOS に対応したことは大きな意味があります。

TechTool Monitor はバックグラウンドで動作しており、つねに、接続されているすべてのストレージデバイスの状態とスナップショット（任意の間隔で）を撮り続けていることによって、いつでも接続されている全てのストレージデバイスの状態確認と、不測のアクシデントからの回復を可能にしています。この安心感はまさに「プライスレス！」です。

最後に、デファクトスタンダードとして、

最新の macOS は非常に優れていますが、時間の経過とともに、動作は徐々に重たくなります（これは現在のコンピュータのアーキテクチャが根本的に変わらない限り永遠について回る悩みです）。また「突然の故障」の可能性も依然として存在します。これはビジネスユーザーにとっては致命的な問題になりかねません。

例えば S.M.A.R.T. チェックにしても、他のツールでは「OK か破損しているか」しかわかりません。破損してからそれを報告されても手遅れです。TechTool Pro の S.M.A.R.T. チェックは、「ダメになる前の段階で」それを知ることができますので、突然のクラッシュを未然に防ぐことができます。

SSD ドライブが安価になってきたことは有り難いですが、一方で「安いけれど品質に不安のある製品」も多く存在します。

そうした不安を払拭し、安心して Mac をフルに使うためにも、「TechTool Pro 18」をインストールしておくことを強くお勧めします。

高級車に装備されている最高の安全装置のようなものです。

「TechTool Pro 18」は、Apple SiliconとIntel ベースの Mac のどちらにもネイティブ対応しており、OS X 10.13 からmacOS 13 'Ventura'までのバージョンをサポートしています。

よって、この最新バージョンは、さまざまな機能と改善が追加され、最新の macOS を搭載した Mac のパフォーマンスとデータのセキュリティに大きく貢献します。

最後に、テストメニューとツールメニューの内容がわかる画面ショットを添付しておきます。

注：ご利用のマシンによって一部表示されるメニューが異なります。例えば、古い機種、古い OS ですと、ファイルやディスクの最適化（デフラグ）メニューが表示されます。

【テストメニュー】

【ツールメニュー】

【価格情報】

TechTool Pro 18

シングルライセンス　　　26,400 円（税込み、以下同様）

追加ライセンス２台用　　13,200 円

アップグレード　13,200 円

10 ライセンスビジネスパック　44,658 円

10 ライセンスビジネスパックアップグレード　　27,718 円

TechTool Pro Subscription

1-ユーザライセンス　　13,852 円

3-ユーザライセンス　　18,472 円

10-ユーザライセンス　　27,712 円

【動作環境】

Apple Silicon および Intel ベースの Mac
macOS 10.13 'High Sierra' から macOS 13.1 'Ventura'

APFSの互換性に関する追加情報

【無償アップグレードサービス】

対象ご購入期間：　2023年 6月 1日〜 2023年 7月 25日

！）特にご申請いただかなくても弊社から順次 v.18 用のライセンスキーをお届けさせていただきます。

【発売日】

2023/08/01

【お問合せ】

製品情報：https://act2.com/ttp

Eメール：info@act2.com

ヘルプデスク：https://support.act2.com/hc/ja

まだしばらく暑い日々が続くと思われますが、みなさま、どうかくれぐれも熱中症にはお気をつけくださいませ。

最後まで、お読みくださって、誠にありがとうございました。

act2.com

Product Team

一同

2023年7月19日水曜日

なんと、Macからデータを盗むマルウェアの最新バリエーションが見つかった！

みなさん、こんにちは。（こんばんは、でしょうか？）

今日の内容は、なんと、Macからデータを盗むマルウェアの最新バリエーションが見つかった！というニュースです。

Macを狙う最新のデータスティーラー・マルウェア “ShadowVault”（この記事は基本的に、2023年7月13日にJoshua Long（https://i.r.cbz.jp/cc/pl/kfwb7399/iyw1cymtz3bd/3rrlik86/）によってMac Security Blogに投稿されたShadowVault is the latest Mac data-stealer malware, reportedlyの翻訳です）

ShadowVault は、今週のApple関連プレスを賑わしたMacからデータを盗むマルウェアの最新バリエーションです。この記事では、現時点でわかっていることを紹介します。

■ShadowVaultマルウェアは何をするのか？

2023年6月3日に公開されたShadowVaultは、“macOSスティーラー”マルウェアとされています。犯罪者が月額$500をディストリビュータに支払って利用する、いわゆる「マルウェア・アズ・ア・サービス（MaaS）」として販売されています。

ShadowVaultは、XSS（旧名DaMaGeLaB）と呼ばれるロシア語のサイバー犯罪およびハッキングフォーラムで見つかりました。

このマルウェアの動作を紹介するYouTube動画： https://i.r.cbz.jp/cc/pl/kfwb7399/o2fys6k5k2s0/3rrlik86/ ）

は、6月8日に公開されました｛この発見は、macOSセキュリティ研究者であるPhil Stokes氏（ https://i.r.cbz.jp/cc/pl/kfwb7399/dyot39z2jqbp/3rrlik86/ ）の功績です｝。

この動画では、ShadowVaultアプリがMacから様々なデータを取り出し、データダンプをほんの1分ほどでコマンド＆コントロール（C&C）サーバに返信する様を見せるとしています。C&C担当者に表示されたそのレポートには、被害者のMacから取り出されたパスワードに加え、Cookie、パスワード、クレジットカード番号、そして暗号通貨ウェレットなどを含む取り出されたとされるデータの概要が含まれているように見えます。

動画では、このマルウェアのロシア語および英語の製品ページへのリンクと共にTelegramチャンネルが記載されています。

https://www.intego.com/mac-security-blog/wp-content/uploads/2023/07/ShadowVault-Telegram-channel.jpg

https://i.r.cbz.jp/cc/pl/kfwb7399/o2fys6k5k2s0/3rrlik86/

■ShadowVaultのTelegramチャンネル

前出の製品ページでは、このマルウェアがmacOSのキーチェーン、Google Chrome、Microsoft Edge、Brave、Opera、VivaldiなどのChromiumを採用するWebブラウザ、そしてFirefoxからパスワードを取り出せるとしています。またShadowVaultが、暗号メッセージアプリであるMac版Telegramからメッセージを抜き出すことを意味すると思われる“Telegram grabbing”ができるとしています（ https://i.r.cbz.jp/cc/pl/kfwb7399/pttuk778u0io/3rrlik86/ ）。

■ShadowVaultのようなマルウェアからMacを守り、除去する方法

現時点では、ShadowVaultと確実に関連していると言えるサンプルは見つかっていません。Macマルウェアコミュニティ内で声をかけてみましたが、誰も明確なサンプルは持っていませんでした。さらに言えば、このマルウェアが実際に販売された証拠も見つかっていません。

しかし、Integoでは新たに汎用のスティーラーおよびキーチェーンダンプマルウェアを定義ファイルに追加しました。追加された新たな脅威は、実際には一つで同一である可能性が高いでしょう。また、ShadowVault自体が、Macを狙うオープンソースのマルウェアパッケージを基にしたすでに世に出回っているマルウェアの見た目を変更しただけという可能性もあります。

Integoのバンドル製品に含まれているIntego VirusBarrier X9（ https://i.r.cbz.jp/cc/pl/kfwb7399/jvv6jz48jqux/3rrlik86/ ）は、ShadowVaultのような動作を行うMacを狙うマルウェアを検出して除去できます。Intego製品は、この脅威のコンポーネントをOSX/JokerSpy、Python/JokerSpy、あるいはadware/OSX/Agent.jlejbのような名前で検出します。

お使いのMacがマルウェアに感染したと信じる理由があるなら、あるいは今後の感染からMscを守りたいなら、信頼できるMacの開発者が提供するアンチウイルスソフトを導入するべきです。多くの受賞歴を持つVirusBarrierは、Macのセキュリティの専門家によって開発されているリアルタイムスキャン機能を持つアンチウイルスソフトです（ https://i.r.cbz.jp/cc/pl/kfwb7399/j0fwayv4nxhw/3rrlik86/ ）。Appleシリコンを搭載してmacOS Venturaを実行する最新のMacを含む、多くのMacの機種とオペレーティングシステムのバージョンにネーティブ対応しています。

ご注意: 古いバージョンのMac OS XでIntegoのVirusBarrier X8、X7、あるいはX6シリーズをお使いのユーザもこの脅威から保護されます。しかし、お使いのMacをAppleによる最新のセキュリティアップデートで保護するためにも、可能であれば常に最新のVirusBarrierおよびmacOSをお使いください。

■お使いのMacは安全ですか？

Mac用のセキュリティソリューションを検討しているなら、ACT2の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:

https://i.r.cbz.jp/cc/pl/kfwb7399/b0nx40xykmgn/3rrlik86/

コンピュータとマルウェアは、本当に「イタチごっこ」ですが、少なくともコンピュータのアーキテクチャが根本から変わらない限り、永遠に続いていくでしょう。しかし、マルウェア駆逐を諦めるわけにはいきません。ネットを利用する正しい姿勢としてエンドポイント（Mac や PC）には必ず、マルウェア対策ツールをインストールしておきましょう。

ところで、熱中症にはくれぐれもお気をつけくださいね！では、また！
文責
MK

2023年7月10日月曜日

Mac を狙うマルウェア "JokerSpy" バックドアの感染確認

（この記事は、2023年6月23日にJoshua Long（https://www.intego.com/mac-security-blog/author/joshlong/）によってMac Security Blogに投稿されたJokerSpy backdoor Mac malware discovered in the wildの翻訳です）

この6月に２つの研究チームが、JokerSpyと名付けられた新しいMacマルウェアファミリーを個別に発見しました。このマルウェアの初期段階にクロスプラットフォームのコンポーネントが含まれていることから、JokerSpyにはWindowsおよびLinux版も存在することが示唆されています。

この新しいMacを狙う脅威がどのようなものか、そしてどのように身を守れば良いか説明したいと思います。

JokerSpy Macマルウェアの動作

まず現時点では、根本的な感染経路（マルウェアがMacに侵入する方法）はわかっていません。

分かっているこのマルウェアが実行された際の最も初期の機能は、追加コンポーネントをダウンロードするために使われるPythonバックドア（ファイル名 sh.py）です。“日本の著名な仮想通貨取引所”での感染では、このマルウェアが機能追加のためにSwiftBeltをダウンロードすることが観察されています。SwiftBelt（ https://github.com/cedowens/SwiftBelt ）は、Mac専門のオフェンシブ・セキュリティのエンジニアであるCedric Owens氏が開発したレッドチーム用の合法ツールです。残念なことに、JokerSpyの配布者のような犯罪者によって善意のツールが悪用されることもあるのです。

JokerSpyのようなマルウェアがシステムに侵入して感染すると、攻撃者はシステムの多くの部分を制御できるようになります。バックドアがあれば、攻撃者はバックグラウンドで追加コンポーネントをインストールし、さらに危険な攻撃を実行し、ユーザの行動を監視し、ログイン情報や暗号通貨のウォレットを盗んだりできるようになります。

JokerSpyや他のMacを狙うマルウェアの除去および防御

Integoのバンドル製品に含まれているIntego VirusBarrier X9（ https://act2.com/intego ）は、このMacを狙うマルウェアを検出して除去できます。Intego製品は、この脅威のコンポーネントをOSX/JokerSpy、Python/JokerSpy、あるいはadware/OSX/Agent.jlejbのような名前で検出します。

お使いのMacがマルウェアに感染したと信じる理由があるなら、あるいは今後の感染からMscを守りたいなら、信頼できるMacの開発者が提供するアンチウイルスソフトを導入するべきです。多くの受賞歴を持つVirusBarrierは、Macのセキュリティの専門家によって開発されているリアルタイムスキャン機能を持つアンチウイルスソフトです（ https://www.intego.com/mac-security-blog/why-your-antivirus-needs-real-time-scanning/ ）。Appleシリコンを搭載してmacOS Venturaを実行する最新のMacを含む、多くのMacの機種とオペレーティングシステムのバージョンにネーティブ対応しています。

JokerSpyとSysJokerとの関係

2022年2月の記事で触れたSysJoker（ https://www.intego.com/mac-security-blog/sysjoker-cross-platform-backdoor-malware-for-mac-windows-and-linux/ ）が、今回のJokerSpyと関係している証拠はありませんが、いくつかの点では似ているとも言えます。どちらもmacOS、Windows、そしてLinux PCに感染するコンポーネントを持つクロスプラットフォームのバックドアマルウェアファミリーです。そして、どちらもGitHubに似たドメインを使っている点も興味深いところです。

JokerSpyの名前の“joker”は、その開発者のmacOSログイン名から来ており、“Spy”も/Users/joker/Downloads/Spy/XProtectCheck/というJokerSpyのmacOS実行ファイルの一つと同じパス文字列で見つかります。

研究者グループの一つは、JokerSpyマルウェアの特定のサンプルは、2023年4月の記事で触れたSmoothOperator Trojanized 3CXソフトウェア（ https://www.intego.com/mac-security-blog/smoothoperator-3cx-voip-app-spreads-mac-malware-by-lazarus-group-apt/ ）のペイロードと“よく似たコードシグネチャーを持つ”としています（ https://www.elastic.co/security-labs/inital-research-of-jokerspy ）。

JokerSpyのセキュリティ侵害インジケータ（IoC）

次のSHA-256ハッシュがJokerSpyマルウェアのキャンペーンと関係している可能性があります:

39bbc16028fd46bf4ddad49c21439504d3f6f42cccbd30945a2d2fdb4ce393a4

5fe1790667ee5085e73b054566d548eb4473c20cf962368dd53ba776e9642272

6d3eff4e029db9d7b8dc076cfed5e2315fd54cb1ff9c6533954569f9e2397d4c

8ca86f78f0c73a46f31be366538423ea0ec58089f3880e041543d08ce11fa626

951039bf66cdf436c240ef206ef7356b1f6c8fffc6cbe55286ec2792bf7fe16c

aa951c053baf011d08f3a60a10c1d09bbac32f332413db5b38b8737558a08dc1

d895075057e491b34b0f8c0392b44e43ade425d19eaaacea6ef8c5c9bd3487d8

次のコマンド＆コントロール（C&C）ドメインが、このマルウェアに関連して使用されているとの報告があります:

git-hub[.]me

app.influmarket[.]org

ネットワーク管理者は、ネットワーク通信ログを調べればネットワーク内のコンピュータが感染して前出のドメインに接続しようとしていないか確認することができます。

研究者、Mauro Eldritch氏の2023年2月の記事によれば、前出の最初のドメインは“QRLog” Java RATに関連して見つかっているそうです（ https://twitter.com/MauroEldritch/status/1624033136269991938 ）。当初の分析内容はすでにオンラインにありませんが、Bingのキャッシュ版（ https://cc.bingj.com/cache.aspx?q=https%3a%2f%2fgithub.com%2fMauroEldritch%2fQRLog&d=4934698636089350&mkt=en-US&setlang=en-US&w=TfrTJAiizqLECoV_-hJHTjHHdXnE5IKm ）およびインターネット上のアーカイブバックアップ（ https://web.archive.org/web/20230623212358/https://cc.bingj.com/cache.aspx?q=https%3A%2F%2Fgithub.com%2FMauroEldritch%2FQRLog&d=4934698636089350&mkt=en-US&setlang=en-US&w=TfrTJAiizqLECoV_-hJHTjHHdXnE5IKm ）があります。

JokerSpyの別名

他のメーカによるこのマルウェアキャンペーンに関連する危険なコンポーネントの呼称には、次のような名前が含まれています:

Adware.ADWARE/OSX.Agent.gedwx、Adware.ADWARE/OSX.Agent.jlejb、Adware/Joker!OSX、Backdoor.Python.JokerSpy.a、Backdoor.Python.JokerSpy.b、HEUR:Trojan.OSX.JokerSpy.a、Joke:MacOS/Multiverze、MacOS:Joker-B [Trj]、OSX.Trojan.Gen、OSX/JokerSpy-A、OSX/Spy.Joker.A、Python:Joker-A [Trj]、Python:Joker-B [Trj]、Python/Spy.Joker.A、Riskware.OSX.Agent.1!c、Trojan Horse、Trojan:Python/PyJoker.AC、Trojan.MAC.JokerSpy.A (B)、Trojan.MAC.JokerSpy.A [many]、Trojan.MAC.JokerSpy.C (B)、Trojan.OSX.JokerSpy.4!c、Trojan.Python.JokerSpy.A (B)、Trojan.Python.JokerSpy.B (B)、Trojan.Python.JokerSpy.C (B)、Trojan.Script.JokerSpy.4!c、Trojan.Win32.FRS.VSNW15F23