Apple公証悪用とローカル検証:進化した手口を実装した「CrashStealer」の脅威

CrashStealerは、最近確認されたインフォスティーラー型マルウェアです。
このジャンルのマルウェアは以前から多くの種類がありますが、CrashStealerは特徴的な部分がいくつか判明しています。
類似の他のマルウェアとの違いを見てみましょう。

  • 開発言語と設計の「厚み」:ネイティブC++の採用
    既存の多くのコモディティ(大量生産型)マルウェアとの最大の違いは、その基礎設計にあります。
    • 従来のマルウェア(AMOSなど)
      開発のしやすさや打撃の手軽さから、AppleScriptのドロッパー(スクリプト型の仕掛け)や、薄いObjective-Cのラッパー(表面だけを覆った簡易なプログラム)で作られていることがほとんどです。
    • CrashStealer
      全てがネイティブC++でゼロから強固に組み上げられています。
      内部には MacOSData という専用のクラス(設計図)が定義されており、スクリプト型に比べて解析コードの読み解きが難しく、リバースエンジニアリング(分解解析)に時間がかかる手強い設計になっています。
  • 窃取プロセスの違い:ローカルでのパスワード検証
    多くのインフォスティーラーは、ユーザが入力したパスワードやキーチェーンのデータを「とりあえず盗んでC2サーバに送る」という大雑把な挙動をします。
    送信後に攻撃者側で「使えないデータだった」と気づくことも珍しくありません。
    • CrashStealerの独自性
      データを外に送り出す前に、被害者のログインパスワードが本当に正しいかどうかを「ローカル環境(Mac内)で検証する」というプロセスが組み込まれています。
      これにより、確実に価値のある(ロックを解除できる)データだけを厳選して効率的にハッキングを進めます。
    • 補足:最新のマルウェアトレンドとの共通点
      実は、2026年7月初旬に公開されたmacOS向けインフォスティーラー「PamStealer」でも、全く同じ思想の手口が使われ大きな話題となりました。
      PamStealerは、macOSの認証システム(PAM)を悪用し、正しいパスワードが入力されるまで執拗にポップアップを出し続けるという凶悪な仕様を持っています。
      CrashStealerもこの流れを汲んでおり、 「確実に使える(ロックを解除できる)価値あるデータだけを厳選し、効率よく無駄のないハッキングを行う」 という、現代の高度なmacOSマルウェアに共通する強力な進化(トレンド)を踏襲しています。
  • 防衛網のすり抜け方:徹底した暗号化(AES-GCM)
    ネットワークの通信監視(パケット解析)を行うセキュリティ製品に対して、CrashStealerは非常に高い隠蔽性を持っています。
    • 従来のマルウェア
      盗んだデータをプレーンテキスト(平文)に近い状態、あるいは単純なBase64エンコード(可視性の高い変換)だけで送信することが多く、ネットワーク境界の防御フィルターで「異常なデータ流出」として検知されやすい傾向がありました。
    • CrashStealer
      収集したファイルを送信する前に、Mac内でAES-GCMという非常に強力な暗号化を施します。
      その上で libcurl(標準的な通信ライブラリ)を使ってC2サーバに流すため、セキュリティ製品が通信の中身を見て「今、パスワードが盗まれている」と判別するのを著しく困難にさせています。
  • 潜入フェーズの狡猾さ:二段階の署名偽装
    macOSの強固な防御壁である「Gatekeeper」や「公証(Notarization)」の破り方にも違いが見られます。
    • 従来のマルウェア
      正規の署名を持たない野良アプリとして、ユーザに「右クリックで強制起動」させるような力技のソーシャルエンジニアリングが主流でした。
    • CrashStealer
      「正規の署名・公証を持ったドロッパー(Werkbit Setup)」と「Apple純正を騙る無署名の本体(CrashReporter)」の完全な二段階構成をとっています。
      最初の段階でAppleのお墨付き(公証)をクリアしてMac内に侵入し、内部に入ってからセキュリティを解除した状態で本体を動かすため、OSレベルの初期警戒網を完全に無効化します。

目的(ブラウザ、ウォレット、キーチェーンの窃取)こそ他のマルウェアと重複していますが、「解析されにくく、確実に使えるデータを、誰にも気づかれずに暗号化して盗み出す」という点において、CrashStealerは既存の脅威よりも数段上のプロフェッショナルな手口に進化していると言えます。

CrashStealer: C++ macOS infostealer posing as crash reporter
https://www.jamf.com/blog/crashstealer-macos-infostealer-analysis/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。