\r\n\r\n
Macマルウェアの脅威が高まる中、セキュリティツールは必要悪です。幸いなことに、Objecive Seeのフリーソフトのような適切なツールを使えば、自分自身を守り、心の平穏を取り戻すことができるのです。
このプロジェクトは、セキュリティ研究者であるパトリック・ウォードルが、自分のコンピュータを安全に保つために考案した一連のツールです。それ以来、彼はこれらのマルウェアをすべて無料で公開し、研究および教育目的のために既知のMacマルウェアのライブラリを維持しています。
このリストを見て、あなたのMacをより良く保護するためにこれらのツールをどのように使用できるかを見てみましょう。
機能:お使いのMacBookへの物理アクセス攻撃に関するアラートを受け取ることができます。
MacBookを持ち運ぶ場合や、職場で「自分のデバイスを持ち込む」アプローチを好む場合、物理的なアクセス攻撃はおそらくあなたのノートパソコンに対する最大の脅威となります。多くの人は、悪意のあるUSBデバイスや他のユーザーによってもたらされる真の脅威を考慮することなく、ノートパソコンを放置してコーヒーを飲んでいます。
Do Not Disturbは、スタートアッププロセスをインストールし、すべての既知の「蓋を開ける」イベントを記録し、アラートの送信またはカスタムアクションを実行するオプションを提供します。iOSのコンパニオンアプリとの連携が最適で、ウェブカメラを使って犯人を撮影したり、Macコンピュータをリモートでシャットダウンするなどの回避行動を取ることができます。
アプリをインストールすれば、物理的なアクセスイベントのログを、iOSのカウンターパートを必要とせずに見ることができます。また、パッシブロギング(警告を表示しない)を使用してアプリを実行する設定や、メニューバーのアイコンを「見えないように」表示する設定も用意されています。
ダウンロード:Do Not Disturb
機能:お使いのMacに永続的なマルウェアの痕跡がないかスキャンします。
KnockKnockは、基本的なマルウェアスキャナーだけでなく、繰り返しインストールされる悪意のあるコードなど、持続的なマルウェアの兆候も探します。KnockKnockはオンライン検出ツールVirusTotalと統合されているため、既知のマルウェアが検出されると赤いハイライトが表示されます。
VirusTotalとの連携は良好ですが、その他に永続的にインストールされるアプリケーションも報告されます。ほとんどの結果は良性ですが、何か異常が見つかるかどうかを確認するチャンスです。このアプリケーションは、プラグイン、ブラウザの拡張機能、スタートアップやログインエントリ、カーネル拡張機能など、さまざまな種類の永続的なインストーラーを検出することができます。
ダウンロード:KnockKnock
機能:Appleのアクティビティモニタ・タスクマネージャのセキュリティ重視版のようなものです。
TaskExplorerは、VirusTotalとの連携を除けば、Macに付属するActivity Monitorアプリケーションと非常によく似ています。これは、現在実行されている既知の悪意のあるプロセスにフラグを立てることを意味します。認識できないコンテンツは、VirusTotalのサーバーに送信して解析することができます。
このアプリケーションは、実行中のプロセスの署名の状態をすばやく表示し、ロードされたダイナミックライブラリ、ネットワーク接続の詳細、特定のタスクで現在使用されているファイルを確認することができます。KnockKnockと似ていますが、こちらは実行を担当するコードではなく、開始されたプロセスに焦点が当てられています。
ダウンロード:TaskExplorer
内容:マルウェアのインストーラーを発見し、停止させようとします。
KnockKnockがマルウェアのインストーラを探すのに対し、BlockBlockはインストールを完全に拒否しようとします。これは、バックグラウンドで常に動作し、一般的な永続的な場所を監視し、疑わしいコンテンツが検出されるとアラートを表示することで実現しています。
ご想像の通り、BlockBlockはVirusTotalと統合されています。既知のマルウェアにフラグを立てますが、BlockBlockが検出したアプリケーションの多くは、日常的な操作を行う正当なものです。 BlockBlockは、検出されたインストールをブロックするオプションを提供しています。また、このアプリケーションは、インストーラーがAppleによるものか、サードパーティーによるものか、あるいは完全に署名されていないものかを報告します。
ダウンロード:BlockBlock
内容:新しく作成された暗号化ファイルを監視し、ランサムウェアの攻撃を防ぐ。
ランサムウェアは、データをロックしてしまうマルウェアの一種で、通常、ファイルを安全に返すために何らかの料金を支払うよう要求します。この特定のマルウェアの設計の特徴は、疑わしいプロセスによって暗号化されたファイルを作成することです。
身代金はどこだ?ランサムウェアの既知の兆候についてシステムを監視し、プロセスをブロックし、可能性のある脅威を許可または終了するように促します。このアプリケーションは、Appleによって署名されたソフトウェアや、アプリケーションをダウンロードする前にインストールされたソフトウェアを明示的に信頼する一方で、暗号化ファイルを素早く作成する信頼できないプロセスにフラグを立てます。
他の客観的なアプリケーションと同じように、どこに喝を入れるのか?特にマルウェアを探すわけではなく、マルウェアを示唆する動作をします。開発者は誤検知の数を最小限に抑えるように努めていますが、アプリケーションは正当なプロセスにフラグを立てることがあります。
ダウンロード:ブラックメイルはどこ?
機能:マイクやカメラが起動したときに警告を出します。
最も簡単に監督できる客観視アプリケーションの1つは、Macコンピュータのマイクやウェブカメラがオンになっているときに警告を発します。Macのマルウェアには、ユーザーを録画したり、ストリーミング再生しようとする例も知られており、そのため、多くのユーザーが予防のためにウェブカメラを隠しているのです。
ウェブカメラやマイクのイベントの監視と報告を監督する。アラートには、プロセス名とプロセス識別子、およびリクエストを許可またはブロックするプロンプトが含まれます。また、セキュリティアプリケーションをホワイトリストに登録することで、常に承認する必要がなくなります。
最も興味深いのは、このアプリケーションが、正当なウェブカメラやマイクの要求を利用しようとする二次的なプロセスを検出しようとすることです。これは絶対に正しいというわけではありませんが、ないよりはましです。
ダウンロード:監修
内容:現在ロードされているカーネルエクステンションを一覧表示します。
KextViewr は、現在ロードされているすべての kext、その署名の状態、インストール・ファイルへのパス、そしておそらく最も重要なことですが、以下の相互参照の結果を表示します。ハッシュの結果はVirusTotalでクロスリファレンスされます。
これらのプロセスは、#apple、#nonapple、#signed、#unsigned、#flaggedのタグを使ってフィルタリングすることができます。
ダウンロード:KextViewr
機能:アプリケーションの署名状態を確認し、その信頼性を判断する。
無署名アプリケーションのすべてが危険というわけではありません。オープンソースのプロジェクトやフリーソフトの多くは、開発者が開発者ライセンスを取得する資金がないため、無署名となっています。この点を考慮すると、署名付きアプリケーションは、署名なしアプリケーションよりも(セキュリティの観点から)信頼性が高いと言えます。
What's Your Signには、右クリックのコンテキストオプションに「署名情報」が追加されています。 これをクリックすると、そのアプリケーションがAppleによって署名されているか、サードパーティーによって署名されているか、まったく署名されていないかを確認することができます。以上です。
ダウンロード:あなたの星座は?
ここに紹介したツール以外にも、Objective Seeでは特定のユーザーにとって有益と思われるツールを多数提供しています。
セキュリティツールは、マルウェア感染の予防や検知に役立ちますが、ちょっとした常識があれば、マルウェア感染を避けることができます。管理者パスワードを要求するプロセス、ゲートウェイ管理者に回避を要求する署名のないアプリケーションは常に疑い、システムの完全性保護を常に有効にする。