Bleeping Computerは3月30日(米国時間)、「Apple adds macOS Terminal warning to block ClickFix attacks」において、AppleがClickFix戦術をブロックする新しい防御機能をmacOS Tahoe 26.4に導入した可能性を伝えた。
この新機能は公式のリリースノート「macOS Tahoe 26.4 Release Notes | Apple Developer Documentation」に記載がなく、詳細は明らかになっていない。しかしながら、一部のユーザーが動作を確認したという。
ターミナル貼り付け時に警告表示、新機能の仕組みとは
今回,AppleはClickFixのようにユーザーにコマンド実行を促す攻撃への対策として、新しい機能を導入した可能性がある。動作を確認したユーザーの投稿によると、ターミナルへのコマンドの貼り付け操作で警告メッセージが表示され、操作を続行するか確認するという。
-
Redditに投稿された警告メッセージの例 - 引用:RedditへのPurplSyrup氏の投稿
警告は1回のみ?ユーザー報告で見えた挙動
この新機能について、複数のユーザーが動作を検証して報告している。これら報告を総合すると、警告表示はセッションごとに1度までに限られ、繰り返し表示されることはない。また、Webブラウザ(Safari)上でコマンドをコピーしてターミナルに貼り付けても警告されない場合があるとしている。
これら挙動から内部でコマンドの分析が行われている可能性が指摘されている。なお、筆者も動作の検証を試みたが、これまでのところ警告メッセージの表示に成功していない。これは段階的な展開が行われている可能性や、セキュリティソリューションの影響などが考えられる。
ClickFixとは何か、macOSユーザーにも広がる攻撃
ClickFix戦術は、攻撃者の管理する、または侵害されたWebサイトにアクセスした標的に偽の警告やアップデートを通知し、改善のために必要として悪意のあるコマンドをユーザー自身に実行させるサイバー攻撃手法とされる。古くからみられる攻撃手法だが、WindowsおよびmacOSユーザーを標的にする事案が後を絶たない。
Appleは未発表、正式機能かは不明
公式発表がないことから実験的な提供にとどまるのか、正式機能として導入されたのかは不明だ。Bleeping ComputerはAppleに問い合わせ中であることを明らかにし、返答を得られ次第、情報を提供する予定としている。
