インターネットの声

新種macOSマルウェアPamStealer、PAM悪用でパスワード窃取

macOSを標的とした新種情報窃取マルウェア「PamStealer」が発見された。Rust製のコードがPAMインターフェースを悪用し、正規アプリに偽装してパスワードを検証・窃取する高度な手口を持つことが明らかになった。

9分で読める SINGULISM 編集チームが確認・編集

新種macOSマルウェアPamStealer、PAM悪用でパスワード窃取
Photo by FlyD on Unsplash

macOSを標的とした新たな情報窃取型マルウェア「PamStealer」が発見された。セキュリティ企業Jamfの研究者らが確認したこのマルウェアは、macOSのPluggable Authentication Modules(PAM)インターフェースを悪用し、標的のログインパスワードを検証した上で窃取する高度な手口を持つ。正規のクリップボード管理アプリ「Maccy」に偽装したディスクイメージから配信される点も特徴的だ。

PamStealer発見、macOS標的の新種情報窃取マルウェアの報告でも触れた通り、本マルウェアは従来のmacOS向け情報窃取マルウェアと比較して、ステルス性と検出回避の手法が格段に洗練されている。以下、その技術的詳細とセキュリティ上の示唆を報告する。

二段階の配信手法

PamStealerの感染プロセスは二段階で構成される。第一段階は、正規のmacOS用クリップボード管理アプリ「Maccy」を装ったディスクイメージ(DMG)として配布される。このDMGにはAppleScriptとしてコンパイルされたコードが含まれており、第一段階の役割は第二段階のペイロードをダウンロード・実行することにある。

AppleScriptはmacOS標準のスクリプト言語であり、システムの操作やアプリケーション制御に広く使われる。攻撃者はこのAppleScriptを用いて、ユーザーに正規アプリのインストールを装わせつつ、バックグラウンドでRust製の第二段階コードを展開する。第二段階は情報窃取を担う本体であり、Rustで記述されているため、解析やシグネチャベースの検出が難しくなっている。

この二段階構成は、単一のバイナリで完結する従来のマルウェアと比べて、セキュリティ製品による静的解析やファイルスキャンを回避する上で有効とされる。第一段階のAppleScriptは軽量で疑われにくく、第二段階はその場でダウンロードされるため、初期感染時のファイル検査をすり抜ける可能性が高い。

ステルス性を高めるPAM悪用

PamStealerの名称は、macOSに標準搭載されるPAM(Pluggable Authentication Modules)を悪用することに由来する。PAMは認証処理を抽象化するためのフレームワークであり、さまざまなアプリケーションやシステムサービスが一貫した認証を行うために利用される。

本マルウェアは、標的のデバイス上でネイティブなパスワードプロンプトを表示する。このプロンプトは「Maccy wants to make changes. Enter your password to allow this.」といった文言で、システムの認証ダイアログと見分けがつかないようにデザインされている。標的がパスワードを入力すると、マルウェアはそのパスワードをPAM APIを通じてローカルで検証する。

Jamfの分析によれば、このPAMによるローカル検証は、従来のmacOS向け情報窃取マルウェアが行っていた手法(dscl、security、osascriptなどのプロセスを起動してパスワードを検証する方法)とは根本的に異なる。従来の手法では、パスワード検証のために外部コマンドを呼び出すため、プロセスチェーンが発生しセキュリティ監視の対象になりやすかった。PamStealerはこの呼び出しを行わず、PAM APIに直接アクセスすることで、プロセス生成という痕跡を残さない。Jamfは「より静かなルーチンであり、検証済みのパスワードのみを保持し、防御側が検出できるプロセスチェーンを1つ減らしている」と説明する。

パスワード検証に失敗した場合、PamStealerは何度でも同じプロンプトを再表示し、正しいパスワードが入力されるまで繰り返す。正しいパスワードが入力されると、今度は「ファイルが破損しているためインストールできない」という偽のエラーメッセージを表示する。これは標的に疑念を抱かせないための陽動とみられる。

窃取対象と偽装工作

PamStealerはパスワード窃取にとどまらず、可能な限り多くの情報を盗み出すための複数の戦術を備える。その1つが、標的にフルディスクアクセスを許可させる仕掛けである。偽のMaccyアプリに対してフルディスクアクセスを要求するダイアログを表示し、標的が承認すると、ファイルシステム全体へのアクセスを獲得する。これにより、キーチェーン、ブラウザの保存パスワード、ドキュメント、クッキーファイル、暗号資産ウォレット関連のデータなどを収集できるようになる。

さらにマルウェアには、Ethereumアカウントにアクセスするためのコードが含まれていることが確認されている。暗号資産ウォレットの秘密鍵やシードフレーズを狙う動作は、近年のmacOS向けマルウェアで共通してみられる傾向だ。

セキュリティ対策の示唆

PamStealerが用いる手法は、macOSのセキュリティ監視における課題を浮き彫りにする。特にPAM APIを直接呼び出すパスワード検証は、従来のエンドポイント保護製品が想定する攻撃パターンから外れている。多くのセキュリティ製品はプロセス生成やファイル書き込み、ネットワーク通信などの挙動を監視するが、PAM経由の認証はシステムの正常な動作範囲として扱われる可能性が高い。

またAppleScriptを第一段階として使用する点も、macOS環境特有の攻撃経路である。AppleScriptは自動化や管理タスクに多用されるため、セキュリティツールがこれを悪意ある動作と判定するのは難しい。ディスクイメージ(DMG)経由の配布も、ユーザーが手動でマウントすることを前提としており、ブラウザのダウンロード保護やゲートキーパーを回避しやすい。

現時点で、このマルウェアがどの程度広く拡散しているかは明らかにされていない。しかし、その技術的な洗練度の高さは、macOSを標的とした脅威が確実に進化していることを示している。企業のセキュリティ担当者は、macOS端末の監視において、従来のファイルベースの検出だけでなく、PAMやAppleScriptを介した不正な動作を検知する仕組みを検討する必要がある。

先に報告したMicrosoft Defenderの特権昇格脆弱性「RoguePlanet」公開と同様、OSの標準機能やAPIを悪用する攻撃は増加傾向にある。セキュリティ対策においては、既知のマルウェアシグネチャに依存するのではなく、振る舞い検出や異常なAPI呼び出しの監視がますます重要になる。

編集部の見解

PamStealerの発見は、macOSのセキュリティモデルが新たな脅威の波に直面していることを示す。短期的には、AppleがPAM APIやAppleScriptの動作に変更を加えるか、あるいはJamfなどのセキュリティベンダーがPAM呼び出しを監視する専用の検出ルールを迅速にリリースする可能性がある。また、macOSユーザーに対して、正規アプリを装ったインストーラへの警戒を促す注意喚起が増えると見られる。 長期的な視点では、macOSが企業と個人の双方で利用を拡大するにつれ、プラットフォームとしての攻撃対象領域が拡大している。PamStealerのようにOS標準の認証基盤を直接悪用する手法は、従来のアンチウイルス製品では検出が困難であり、動的解析や振る舞い監視に依存する次世代型エンドポイント保護への移行を加速させる要因となる。また、Rustで記述されたマルウェアの増加は、解析の難易度をさらに高める可能性がある。 編集部としては、PamStealerが本当に広く拡散するのか、それとも限定的な標的型攻撃にとどまるのかが注目点と考える。

参考

  • Slashdot — 2026-07-03T15:00:00.000Z公開

よくある質問

PamStealerはどのようにしてmacOSに感染するのか
正規のクリップボード管理アプリ「Maccy」に偽装したディスクイメージ(DMG)を配布し、ユーザーにマウントさせることで感染を試みる。ユーザーがディスクイメージ内のファイルを実行すると、AppleScriptを介してRust製の第二段階ペイロードがダウンロードされる。
PAMを悪用する利点は何か
従来のマルウェアはパスワード検証のため外部コマンド(dsclやosascriptなど)を呼び出し、プロセスチェーンを発生させていた。PamStealerはPAM APIを直接使用するため、プロセス生成の痕跡を残さず、セキュリティ製品からの検出を回避できる。
PamStealerから身を守るにはどうすればよいか
信頼できないソースからのアプリインストールを避けることが最も重要。特にクリップボード管理アプリなどのシステム権限を要求するソフトウェアは、公式サイトやApp Storeからのみ取得する。また、エンドポイント保護製品に振る舞い検出機能が含まれているか確認し、不審なパスワードプロンプトが表示された場合は即座に入力を拒否する。 ## 参考 - [Slashdot: New PamStealer macOS Malware Uses Clever Tradecraft To Remain Stealthy](https://apple.slashdot.org/story/26/07/02/2212244/new-pamstealer-macos-malware-uses-clever-tradecraft-to-remain-stealthy) — 2026-07-03公開 - [Ars Technica 報道(Slashdot引用元)](https://arstechnica.com/) — 元記事(要約) - [PamStealer発見、macOS標的の新種情報窃取マルウェア](https://singulism.com/ja/pamstealer-macos-malware-stealth) — 2026-07-03公開 - [Microsoft Defenderの特権昇格脆弱性「RoguePlanet」公開](https://singulism.com/ja/microsoft-defender-rogueplanet-zero-day) — 関連記事
出典: Slashdot

コメント

← トップへ戻る