「ターミナルに貼り付けるな」——macOS 26.4、マルウェアのコピペ攻撃をOSレベルで遮断

Macは安全——そう思っているなら、そろそろ認識を改めたほうがいい。

Appleが最新のmacOS Tahoe 26.4で、地味だが決定的なセキュリティ機能を追加した。Safariや他のアプリからコピーしたコマンドをターミナルに貼り付けようとすると、macOSが「それ、本当に実行していいの？」と警告を出すようになったのだ。

なぜこの変更が「決定的」なのか

背景には、サイバー犯罪者の手口の変化がある。2023年のmacOS Sonoma以降、Appleは署名・公証されていないアプリを右クリックで開く抜け道を塞いだ。Gatekeeperのバイパスが不可能になったことで、攻撃者は新しい戦術に切り替えた。

それが「ターミナル・ペースト攻撃」だ。

偽のWebサイトやダウンロードページで「以下のコマンドをターミナルに貼り付けてください」と指示し、ユーザー自身にマルウェアを実行させる。この手法は残酷なほどシンプルで、しかも効果的だった。なぜなら、macOSから見れば「ユーザーが自分の意志でターミナルを開き、自分でコマンドを貼り付け、自分でEnterを押した」正当な操作に見えるからだ。

Gatekeeperも、XProtectも、この「自傷行為」は止められない。

Apple流の解決策

macOS 26.4の新機能はこの盲点を突く。外部アプリからコピーされたコマンドをターミナルに貼り付けようとした瞬間、macOSがそのコマンドを解析し、危険だと判断すれば警告プロンプトを表示する。実行前に「立ち止まって考える」機会をユーザーに与える仕組みだ。

9to5Macの報道によれば、最近ではOpenAIのAtlasブラウザやGoogle Chromeを偽装したマルウェアでこの手口が使われていた。攻撃のハードルが極めて低いため、Gatekeeper回避手段を失った犯罪者たちの「最後の手段」として急増していたという。

小さな変更、大きなインパクト

技術的には小さなアップデートだが、ITリテラシーの低いユーザーにとっては防御の最後の砦になりうる。悪意あるダウンロードの指示に従ってしまいそうな人を、OSレベルで救済する——Appleのセキュリティ思想がまた一歩進んだ形だ。

ソース: 9to5Mac