エンジニアの中尾です。 こちらでは macOS, iPhone OS, iPad OS を中心にエンタープライズ向けにセキュリティ関連の動向を毎月アップデートしていきたいと思います。

"Gimmick" の macOS版 マルウェアが登場が発表されました。(2022/03/22)

Gimmick は、Backdoor に分類され、チベット問題に絡み個人や組織をターゲットにした攻撃に使用されています。他のOS では既に存在しましたが、macOS 版も確認されたとのことです。

 こちらは、3/17にリリース済みの macOS に標準搭載される xProtext ver.2158, MRT ver1.9.1 にて対応済みです。

TIPS1: xProtext, MRT のバージョン確認方法は、"システム情報"アプリ のソフトウェア> インストールにて確"認可能です。 Jamf Pro の場合は各端末のインベントリ>セキュリティ にて確認可能です。 

TIPS2: xProtext, MRT のアップデートは、"システム環境設定"アプリ にて、詳細 > システムデータファイルとセキュリティアップデートをインストールをオンにしておく必要があります。デフォルト状態はオンです。 Jamf Pro 等のMDMでは、構成プロファイルのソフトウェアアップロードの項目で設定可能です。

TIPS3: 上記の状態でアップデートが行われない場合として、ネットワークに繋がった状態でもMacBook 等が電源ケーブルを差していない状態が考えられます。

TIPS4: Jamf Protect や 各種EDR 製品、フリーのオープンソース BlockBlock や KnockKnock でも対応可能です。

Storm Cloud on the Horizon: GIMMICK Malware Strikes at macOS (MARCH 22, 2022 by Damien Cash, Steven Adair, Thomas Lancaster

Storm Cloud Unleashed: Tibetan Focus of Highly Targeted Fake Flash Campaign MARCH 31, 2020 Volexity Threat Research

なんと、こちらのmalware の作者は uninstall コマンドを仕込んでいる形跡があったそうです。。仕様書でもあり、外注でもしたのでしょうか？

脆弱性関連のアップデート

ゲートキーパーをバイパスできる Safari の脆弱性 by Jamf Threat Labs(2022/03/17)　CVE-2022-22616

悪意を持って作成された ZIP アーカイブに Gatekeeper のチェックを回避される可能性がある。
Appleからの修正は、3/14リリース macOS Monterey 12.3 に含まれます。 Jamf Protect や 各種EDR 製品、フリーのオープンソース BlockBlock でも対応可能です。

注目のBlog 等のアップデート

• macOS Security Basics series – The One About a Phishing Trip (Jamf Blog)

• Top 10 security threats from 2021 to learn from (Jamf Blog)

• A Practical Guide to Securing Your Mac (Wirecutter)

• Weekly News Summary for Admins (Scripting OS X)— 2022-03-25, 2022-03-18, 2022-03-11,2022-03-04