チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「Cloudflareの認証画面が出たら、素直に指示に従って大丈夫……?」
「Macを使っているからウイルスは関係ないって思っていたんでしゅけど……」
チップスボス!macOSを狙うマルウェアで、ユーザー自身にコマンドを実行させる手口があるって聞いたんでしゅ!どういう仕組みなんでしゅか?
ボス「ClickFix」という手口だ。偽のCloudflare認証画面を表示して、ユーザーにターミナルへコマンドを貼り付けさせる。セキュリティソフトをすり抜けながら、ユーザー自身の手で感染を完了させるのが巧妙なところだ。
「MacはWindowsよりセキュア」というイメージは、もはや通用しません。
2026年3月、Malwarebytesが新型macOS向け情報窃取マルウェア「Infinity Stealer」を報告しました。偽のCloudflare認証画面でユーザー自身に悪意あるコマンドを実行させる「ClickFix」手法を使い、検知を巧みに回避します(Malwarebytes)。
この記事では、攻撃の仕組みと、macOSユーザーが取るべき対策を解説します。
ClickFix手法の仕組みを理解することで、同様の攻撃に騙されるリスクを大幅に下げることができます。
Malwarebytesが2026年3月26日に公開したレポートで、新型macOS情報窃取マルウェア「Infinity Stealer(Infiniti Stealer)」が初めて詳細に報告されました。
Infinity Stealerの感染経路は「ClickFix」と呼ばれる手口です。
攻撃は「update-check[.]com」などの偽サイトから始まります。
訪問者には「Cloudflareの人間確認」に見せかけた偽CAPTCHAページが表示され、「確認を完了するためにターミナルを開き、このコマンドを貼り付けて実行してください」と誘導します。
コマンドの正体は、base64でエンコードされた悪意あるcurlコマンドです。
ClickFix手法が危険な理由は以下の通りです。
正規のCloudflare認証ではターミナルへの操作を求めることはありません。
このような指示が出た場合は、即座にページを閉じることが最善の対応です。
Infinity Stealerは技術面でも工夫が凝らされており、従来の検知手法をすり抜ける設計になっています。
チップス「Nuitkaでコンパイル」ってどういうことでしゅか?難しそうで……。
ボスPythonで書かれたマルウェアを、ネイティブバイナリ(普通のアプリと同じ形式)に変換する技術だ。PyInstallerと違い、Pythonのバイトコードが残らないため、セキュリティツールによる静的解析が難しくなる。
Infinity StealerはPythonで書かれたペイロードをNuitkaでネイティブバイナリにコンパイルした8.6MBのMach-Oバイナリです。
内部にzstd圧縮された35MBのアーカイブを持ち、展開時に実際のステーラーが起動します。
実行前にサンドボックス環境を検出し、解析環境では動作しない回避機能も実装されています。
Infinity Stealerが窃取する主なデータは以下の通りです。
窃取したデータはHTTP POSTリクエストで攻撃者のサーバーに送信され、パスワードはサーバーサイドでクラッキングされます。
macOSを使用する開発者やクリエイター、ビジネスパーソンも対象になりうる脅威です。
Infinity Stealerが示すClickFix手法は、技術的な脆弱性を突くのではなく、ユーザーを騙して自ら感染させる「ソーシャルエンジニアリング」の進化型です。
macOSを使用するすべてのユーザーが対象となりうる脅威で、日本語環境のユーザーも例外ではありません。
「Webページの指示でターミナルにコマンドを貼り付けて実行する」という行為は、何があっても行わないことが最大の防御策です。
ボスどんな理由があっても、Webページの指示でターミナルにコマンドを貼り付けるな。これは絶対に覚えておけ。
チップス怖いでしゅ……!Cloudflareの画面が出てきても「ターミナルを開いて」ってなったら絶対に閉じるでしゅ!覚えましたっす!
