セキュリティ · 1 min read · Oct 09, 2025

Apple macOSカメラ、マイクが危険にさらされていると研究者が警告

Macマルウェアが内蔵カメラとマイクを使用して秘密裏に監視する

Patrick Wardle、Synackの研究ディレクターは、マルウェアがどのようにして正当なユーザーが開始したビデオおよびオーディオセッションに「便乗」し、macOSデバイスのウェブカメラとマイクにアクセスして監視活動を隠すことができるかを示しました。

このスキルを持つマルウェアは、ユーザーが開始したウェブカメラセッションを検出し、自身の録画を開始し、正当なセッションが終了するとすぐにそれを終了させる必要があります。そうすることで、カメラとハードウェアベースのLEDインジケーターがオフになります。

Appleが10年以上にわたって出荷してきたすべてのMacBookには、内蔵カメラとマイクが搭載されています。MacBookには、デバイスのカメラがアクティブなときに点灯するLEDライトがあります。Wardleの分析によると、LEDインジケーターを無効にするためのハードウェアセキュリティは非常に強力です。しかし、ユーザーがLEDライトが点灯することを期待する際にウェブカメラにアクセスできる正当なアプリケーションも存在します。

Wardleは、無許可のアプリケーションを使用してmacOSユーザーを知らないうちに追跡および録画することで、カメラの正当な使用に便乗することが可能かどうかを確認したいと考えました。結果として、ウェブカメラはmacOSの共有リソースであることが判明しました。つまり、ユーザーは希望すればFaceTimeとSkypeのビデオアプリケーションを同時に使用できるということです。

「基本的に、すべてのマルウェアはmacOSシステムを監視して正当なウェブカメラセッションを探します」とWardleは述べました。「その後、マルウェアはウェブカメラにアクセスし、ローカルユーザーを録画し始めることができます。」

しかし、Wardleの攻撃シナリオにはいくつかの制限があります。まず、macOSユーザーはカメラの無許可使用を許可するために、何らかのソースからマルウェアに感染している必要があります。Wardleは、何らかの方法でマルウェアに変わった正当なmacOSアプリの例があると指摘しました。それを考慮すると、ユーザーがAppleのmacOSアプリストアから署名されたアプリケーションをダウンロードした場合、マルウェア感染の可能性は比較的低いです。

「最近、ウェブカメラを意識したmacOSマルウェアの増加が見られました」と彼は言いました。

OS.X Eleanorマルウェアは7月に初めて公に検出され、Appleユーザーを録画しようとしましたとWardleは述べました。しかし、Eleanorマルウェアによってランダムに録画されたユーザーは、他のアプリケーションが最初にカメラを起動することなく、自動的に点灯したMacBookのLEDカメラインジケーターを持っていたと彼は言いました。

Wardleの見解では、ユーザーがデバイスのカメラLEDインジケーターが自動的に点灯するのに気づくことが容易であるべきであり、それが何かおかしいことを通知することになります。

「もし代わりにこの技術を使用し、正当な使用を待ってからユーザーを録画していた場合、Eleanorマルウェアは簡単に検出を回避できたでしょう」とWardleは言いました。

既存のアプリケーションに便乗する能力は、Appleが修正すべき脆弱性ではないとWardleは述べました。彼は、カメラを共有リソースとして持つことは理にかなっていると付け加えました。

Wardleは、macOSにiOSユーザーに提供されるものと同様のツールを求めています。つまり、アプリケーションが最初にカメラにアクセスしようとすると、ユーザーにアクセスを許可するかどうかを尋ねるポップアップダイアログボックスが表示されるというものです。

「私はmacOSがiOSのようになり、カメラにアクセスされるとアラートが表示されることを望んでいます」とWardleは言いました。「それにより、システムはウェブカメラを共有し続けることができますが、マルウェアが何らかの方法であなたのシステムにアクセスしようとした場合、アクセス要求のポップアップが表示されるでしょう。」

AppleはまだmacOSのカメラ活動のインジケーターを持っていませんが、Wardleはマイクとウェブカメラを監視し、Macのカメラとマイクがオンになるたびにユーザーに通知する無料ツール「OverSight」を構築しました。

OverSightは、内蔵カメラにアクセスして使用するすべてのプロセスを特定し、それらを認識し、ユーザーがそれらをブロックできるようにします:

現在、オーディオに関しては、ソフトウェアはマイクがアクティブであることを特定し、その事実をユーザーに警告することができます。

秘密録画を防ぐためにカメラを覆うことは常に簡単ですが、マイクでも同じことをするのはより難しいです。

Wardleはツールの限界を認識していますが、改善を続けると述べています。

「どのセキュリティツールでも、OverSightの保護を特定的に回避しようとする直接的または積極的な試みは成功する可能性が高いです」と彼は指摘しました。

「さらに、OverSightの現在のバージョンは、オーディオおよびビデオイベントを監視するためにユーザーモードAPIを利用しています。したがって、カーネルモードまたはルートキットコンポーネントを持つマルウェアは、ウェブカメラとマイクに検出されずにアクセスできる可能性があります。」

出典: eWEEK

Share: X/Twitter LinkedIn
#セキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。