この偽のAppleアプリは、Macパスワード保管庫のロックを解除できてしまう

| 2026年7月15日
Apple MacBook

CrashStealerは、AppleのCrashReporterコンポーネントを装い、Apple公認のインストーラーを使用してGatekeeperの検知をすり抜け、ユーザーを騙してパスワードを聞き出し、ブラウザ、パスワードマネージャー、暗号資産ウォレット、キーチェーンの秘密情報を体系的に盗み出し、AES暗号化されたバンドルとして外部へ持ち出す、macOS向けの新たな情報窃取型マルウェアです。

研究者たちは2026年5月以来、CrashStealerの動向を追跡している。このマルウェアは「CrashReporter.app」という名称を採用することで、AppleのCrashReporterコンポーネントを装っている。また 、「com.apple.crashreporter.helper 」という名前のLaunchAgentを作成し正規のツールのアイコンやメタデータ を使用することで、 可能な限り信頼できるように見せかけている。

Gatekeeperは、いわばmacOSの「門番」のような存在で、アプリが安全かどうかを確認してから実行を許可します。Appleがスキャンを行い、問題ないと認定して「公証」したインストーラーを使用すれば、Gatekeeperが警告を発することなく実行を許可する可能性が高くなります。公証されているからといって、Appleが意図的にそのマルウェアを承認したわけではありません。これは、インストーラーがAppleの自動チェックを通過したことを意味し、攻撃者がその信頼を悪用したのです。

「Werkbit Setup」と呼ばれる公証済みのインストーラーは、6月下旬に登録された偽のソフトウェアサイトから配布されており、会議用PIN(個人識別番号)によるアクセス制限がかけられていることから、標的を絞った招待制のキャンペーンである可能性が示唆される。

このマルウェアは実行されると、管理者の権限を必要とする正当なシステム操作を実行する際にユーザーが通常目にするような、偽のmacOSパスワード入力画面を表示します。実際には、このマルウェアはそのパスワードを利用して、macOSの暗号化されたパスワード保管庫にパスワードやその他の機密データが保存されているユーザーのキーチェーンのロックを解除します。

悪意のあるパスワード入力画面、画像提供:JamfLabs
画像提供:JamfLabs

その後、このマルウェアは、ブラウザの認証情報やクッキー、仮想通貨ウォレットの拡張機能、パスワードマネージャーのデータ、および一般的なユーザーディレクトリにある小さなファイルを盗み出します。盗み出されたデータは暗号化され、コマンド&コントロール(C2)サーバーに送信されます。

CrashStealerは、macOSが認証情報窃取を目的とした攻撃の標的となっていることを改めて示しています。公証(Notarization)やGatekeeperによって多くの種類のリスクは軽減されますが、多層的な防御策、ユーザーの慎重な行動、そして継続的な脅威の監視が依然として必要であることに変わりはありません。

安全に過ごすには

CrashStealer やその他の情報窃取型マルウェアから身を守るために、いくつかできることがあります。

  • 「CrashReporter」のダウンロードには注意してください。Appleのクラッシュ報告ツールはmacOSに標準で搭載されているため、サードパーティのサイトから別途CrashReporterアプリをダウンロードする必要は決してありません。
  • PINによる認証が必要なインストーラーには注意してください。会議の招待やコラボレーションツールで、見慣れないドメインからソフトウェアをダウンロードし、インストーラーのロックを解除するために秘密のPINを入力するよう求められた場合は、別の信頼できる手段を通じて主催者にその要求を確認してください。
  • 新しいアプリや見慣れないアプリ、特にシステムコンポーネントを装うようなアプリを起動した直後にパスワードの入力を求められた場合は、危険信号として扱ってください。
  • macOSに対応した信頼できるセキュリティソフトウェアを使用してください。そのソフトウェアとmacOS自体を常に最新の状態に保ってください。
  • リスクを分散させましょう。高価値の暗号資産ウォレット、パスワード管理ツール、日常的に使用するウェブサイトのログイン情報を、可能な限り同じマシンやユーザープロファイルに保管しないようにしてください。

Malwarebytes 、CrashStealerを「MacOS.Stealer.Crash」としてMalwarebytes 。


脅威を報告するだけでなく、取り除く

サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。

著者について

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。