PamStealer:クリップボードマネージャーを装った新たなステルス型macOSマルウェアがユーザー認証情報を標的に

macOSのクリップボードマネージャーを装ってパスワードや暗号鍵を盗み出す、新しいmacOSマルウェア「PamStealer」について学びましょう。その仕組みと、安全を確保する方法をご紹介します。

A
Staff Writer
投稿日 03/07/2026 13:35
PamStealer:クリップボードマネージャーを装った新たなステルス型macOSマルウェアがユーザー認証情報を標的に

高度なmacOS情報窃盗マルウェアの台頭

長年にわたり、MacユーザーはWindowsユーザーに比べて比較的安全だと感じていました。しかし、サイバー犯罪者がより標的を絞った高度なツールを開発するにつれて、その差は急速に縮まっています。Jamfのセキュリティ研究者によって特定された最新の脅威は、PamStealerと呼ばれるマルウェアです。この情報窃盗マルウェアは、ソーシャルエンジニアリングとmacOSのネイティブシステムツールを巧妙に組み合わせて、セキュリティ警告を回避し、機密のログイン情報を収集します。

PamStealerがユーザーを欺く方法

PamStealerは、あからさまなウイルスとしてではなく、軽量クリップボードマネージャーであるMaccyと呼ばれる人気のある正規の生産性アプリの偽物として登場します。信頼できるユーティリティになりすますことで、マルウェアはユーザーを騙して不正なドメインからダウンロードしてインストールさせます。

2段階の感染プロセス

このマルウェアは、従来のウイルス対策ソフトウェアのレーダーをかいくぐるように設計された多段階の実行チェーンを利用します。

  • 第1段階:AppleScriptエントリ:マルウェアはディスクイメージを介して届きます。開くと、ユーザーはAppleScriptを実行するように促されます。この方法を使用することで、PamStealerは、インターネットからダウンロードされた実行可能ファイルを通常フラグ付けして制限するmacOSのネイティブセキュリティ機能であるcom.apple.quarantineを正常に回避します。
  • 第2段階:Rustベースのペイロード:スクリプトがアクティブになると、JavaScript for Automation(JXA)ダウンローダーを使用して第2段階のペイロードを取得します。このペイロードは、Apple MシリーズCPU向けに特別に最適化されたRustで書かれたMach-Oファイルです。 Rust の使用は、一般的な macOS スティーラーでは珍しいため特に注目に値し、一部のセキュリティ ツールではマルウェアの認識が難しくなります。

PAM を介した認証情報の窃盗

PamStealer が一般的なマルウェアと異なる点は、Pluggable Authentication Modules (PAM) インターフェイスを使用していることです。セキュリティ アラートが頻繁に発生する curlzsh のような明らかなシェル コマンドを使用する代わりに、PamStealer はネイティブに見える macOS パスワード プロンプトを表示します。

プロンプトは通常、「Maccy が変更を要求しています。これを許可するには、パスワードを入力してください。」 と表示されます。疑いを持たないユーザーが管理者パスワードを入力すると、マルウェアは PAM API を介してローカルで認証情報を検証します。これにより、攻撃者はディスクへのフルアクセスを取得したり、イーサリアム暗号通貨アカウントなどの特定の資産を標的とする悪意のあるコードを注入したりすることが可能になります。

PamStealer から Mac を保護する方法

macOS には XProtect などの組み込みの防御機能がありますが、人的要素が依然として主な脆弱性です。デバイスを安全に保つためのベストプラクティスは次のとおりです。

1. ソフトウェアソースを確認する

常に公式 Web サイトからソフトウェアをダウンロードしていることを確認してください。Maccy の場合、唯一の正規サイトは maccy.app です。マルウェアをホストするために使用されている maccyapp.com などの類似した URL には注意してください。

2. App Store を優先する

可能な限り、アプリケーションは Apple App Store から直接ダウンロードしてください。 Appleはアプリを公開する前に審査するため、ウェブからランダムな.dmgファイルをダウンロードする場合と比べて、情報窃盗マルウェアをインストールするリスクは大幅に軽減されます。

3. 予期しないパスワード要求には注意

インストールしたばかりのアプリケーションが、明確な理由もなく「変更を加える」ために突然管理者パスワードを要求してきた場合は、作業を中止して調査してください。高品質のソフトウェアは通常、昇格された権限が必要な理由を正確に説明します。

4. 多層防御を使用する

XProtectは優れた基本対策ですが、評判の良いサードパーティ製のウイルス対策ソリューションを検討することで、ヒューリスティック分析による追加の層を提供し、PamStealerのような「ゼロデイ」脅威が実行される前に検出することができます。

関連記事