多要素認証(MFA)を完全に無力化する——9to5MacのApple @ Workコラムが報じた、macOSを標的とする新たなソーシャルエンジニアリング攻撃「ClickFix」の本質はここにあります。閉じるボタンが存在せず、ユーザーがパスワードを入力するまで無限ループするダイアログが表示され、入力された瞬間にKeychainデータベース全体とSafari・Chromeの有効なセッションCookieがまとめて奪われます。
Netskope Threat Labsの調査を引用するかたちで、同コラムは、これまで企業ITの定番だった**「最大90日のmacOSアップデート延期」がもはやリスクであり、30日上限への短縮が必要だと提言しました。議論はMac admins・enterprise IT・corporate dataといった企業IT管理者向け**の文脈で展開されています。
パスワードを入れるまで閉じないダイアログ
ClickFixは、ユーザーをだまして悪意あるスクリプトをmacOSのTerminalアプリに直接コピー&ペーストさせる手口です。攻撃の入り口として使われるのは、偽のCAPTCHA画面や偽の「ブラウザを更新してください」というアラートだと報じられています。
スクリプトを実行してしまうと、macOSのシステムプロンプトとそっくりに作られたAppleScriptのダイアログボックスが立ち上がり、ユーザーにパスワードを要求します。やっかいなのはこのダイアログにクローズボタンが存在せず、ユーザーがパスワードを入力するまでループし続ける設計になっている点です。
MFAを無力化する「最大の戦利品」
パスワードを入力した瞬間、マルウェアはmacOSのKeychainデータベース全体に加え、SafariやChromeに保存された有効なセッションCookieを盗み出します。
ライブのセッションCookieが奪われることの恐ろしさは、多要素認証(MFA)が完全に意味をなさなくなる点にあります。攻撃者は奪ったCookieを使うことで、本人になりすましてサービスにログインでき、MFAを再要求されません。Apple @ Workコラムが**「最大の戦利品(ultimate prize)」**と表現するのもこのためです。
企業フリートにとっての具体的リスク
9to5Macの議論は、企業ITが管理するMacフリートに焦点を当てています。攻撃が成功した場合、奪われるのはcorporate data(企業データ)へのアクセス権であり、IT部門が守るべき資産が直撃を受けます。フリート全体が四半期にわたってOSレベルの緩和策の恩恵を受けられない状況こそが、コラムの問題提起の中心です。
Apple側の反撃——macOS Sequoia/Tahoe 26.4のTerminal警告
Appleはすでにこの攻撃タイプへの対抗策を打ち出しています。macOS SequoiaおよびmacOS Tahoe 26.4で、Terminalに対する新しいネイティブのセキュリティ警告が導入されました。
この警告は、信頼できないソースから取得した有害なコマンドをTerminalに貼り付けようとしたタイミングでユーザーに通知される仕組みで、まさにClickFix型攻撃を遮断することを狙ったものです。逆に言えば、この警告機能を備えた最新のmacOSにアップデートしていない端末は、OSレベルで防げるはずの攻撃に対して無防備な状態が続いているということになります。
90日延期は今や負債——現状と推奨の比較
歴史的にAppleは、MDMなどデバイス管理プラットフォームを通じて、IT管理者がmacOSアップデートを最大90日まで延期できる仕組みを認めてきました。社内アプリの動作確認やフリート全体への安全な展開を考えれば、これは長らくITのベストプラクティスとされてきた運用です。
しかし、AI時代の脅威の変化スピードを踏まえると、3カ月の遅延はもはや許容しがたいと9to5Macは主張します。現状の運用と同コラムの推奨ラインを並べると次のようになります。
- 現行の上限:最大90日(=四半期に相当)延期可能
- 9to5Macの推奨:Appleが正式上限を45〜30日に短縮
- IT部門が自主的に取るべき上限:30日
Terminalペースト警告のような重要なOSレベルの緩和策が3カ月間も適用されない状態は、従業員をソーシャルエンジニアリング攻撃にさらし続けることになるからです。仮にサードパーティの業務アプリがmacOSの新バージョン公開から30日以内に対応できないのであれば、それはAppleの問題ではなくベンダー側の問題だ、というのが同コラムの立場です。
今日からできるアクション
最後の論点は「では何をすべきか」です。9to5MacはMac admins・enterprise ITを主な読者として、次のような行動を促しています。
- IT管理者:MDMのアップデート延期設定を確認し、90日になっていれば30日上限に締め直す
- ベンダー対応:30日以内に新macOSへ対応できない業務アプリ提供元には、ベンダー側の問題として対応を求める
- フリート方針:四半期単位でフリートを脆弱な状態に置かないよう、内部ポリシーを手動で締め直す
Terminal警告を回避する「Script Editor経由」の新亜種が出現
Appleがアップデートで導入したTerminalペースト警告に対し、攻撃者はすでに回避策を投入しています。Jamf Threat Labsは、applescript:// URLスキームを悪用してScript Editorを起動し、Atomic Stealerを配布する亜種を発見しました。macOS 26.4のTerminal警告を回避する目的で、攻撃者は実行ベクトルをScript Editorへ移行しています。
- 入り口:Jamfが捕捉した亜種は「reclaim disk space on your Mac」と称する偽Appleテーマのページを使用しています
- 別系統:SentinelOneが発見したSHub Reaperも同様にapplescript://でTahoe 26.4の緩和策を回避しています
- 隠蔽手法:ASCIIアートで悪意あるコマンドをScript Editorの可視範囲の外へ押し出しています
OS側の防御が一段強化されても、攻撃面はすでに次の扉へと移っている状況です。
拡大するmacOS狙いインフォスティーラー経済圏
ClickFixを起点とするmacOSマルウェアファミリーは、急速に多様化しています。ClickFixは2025年のマルウェアローダー活動全体の半分以上を占めたと報告されており、Microsoftは2025年後半以降、DigitStealer、MacSync、AMOSなどmacOS特化型インフォスティーラーを観測しています。
| ファミリー | 特徴 |
|---|---|
| MacSync | MaaSとして展開され、2026年2月の亜種は米国SLTT政府機関に影響、ファイルレス・メモリ実行で従来の検知を回避します |
| Infiniti Stealer | PythonをNuitkaでコンパイルした初のClickFix由来macOS亜種で、ネイティブバイナリとして動作します |
| SHub Reaper | 60秒ごとにビーコン送信するLaunchAgentで永続化し、Exodus・Ledger・Trezor等の暗号資産ウォレットを標的とします |
セッションCookie窃取に留まらず、暗号資産ウォレットやSLTT政府機関の資産まで射程に入った点が、企業フリートにとっての新しいリスク水準となっています。
Q&A
Q. 9to5Macはどのような読者層に向けて提言していますか? コラムはMac admins・enterprise IT・corporate data・your fleetといった表現を用いており、企業のApple端末を管理するIT管理者層に向けた議論として書かれています。家庭ユーザー個人の防御策を主眼とした記事ではありません。
Q. MFA(多要素認証)を有効にしていれば安全ではないのですか? ClickFixはまさにそのMFAを無力化することを狙った攻撃です。盗まれるのはパスワードだけではなく、ログイン後にブラウザが保持している有効なセッションCookieであり、攻撃者はそれを使ってログイン済み状態を再現するためMFAは再要求されません。9to5Macが「ultimate prize(最大の戦利品)」と評しているのはこの理由からで、MFAだけに依存した防御は通用しないとされています。
