お役立ち情報を毎日発信しています!!

kusu blog

kusu blog

閉じる

Macだから安全は嘘!新型マルウェア「SHub Reaper」の手口と今すぐできる対策

セキュリティ 2026年5月21日 2026年5月21日

「Macはウイルスに感染しない」と思っていませんか?2026年5月、macOSを標的とした新型マルウェア「SHub Reaper」が確認されました。セキュリティ企業SentinelOneの一次分析とApple公式のセキュリティ機能を踏まえて、その巧妙な手口と具体的な対策を解説します。

管理人
Macユーザーのプログラマーさんも多いと思います。「自分は大丈夫」と油断せず、一緒にセキュリティ対策を確認しましょう!

SHub Reaperとは?

SHub Reaper(エスハブ・リーパー)は、macOS向けの情報窃取型マルウェア(スティーラー)の新型亜種です。SentinelOne公式ブログ(https://www.sentinelone.com/blog/shub-reaper-macos-stealer-spoofs-apple-google-and-microsoft-in-a-single-attack-chain/)の分析によると、SHub Stealerの新しいビルドタグ「Reaper」として2026年5月に確認されました。

従来のSHub Stealerは「ClickFix」(ユーザーにTerminalでコマンドを実行させる手法)を使っていましたが、ReaperはTerminalを完全に迂回する配信メカニズムを採用。macOS Tahoe 26.4のClickFix対策をすり抜ける新手法を用いています。

Forbes JAPAN(https://news.yahoo.co.jp/articles/e6cbc0fe56062981cdc330293d429a9460847a37)の報道でも、Apple・Google・Microsoftの3社に同時に偽装する点が注目されています。

攻撃の手口:多段階偽装チェーン

SentinelOneの技術分析によると、Reaperの感染チェーンは以下のように各段階で姿を変えます。

  1. 配布段階: WeChatやMiroの偽インストーラーサイトを作成し、VM検出等のアンチ解析で研究者を排除
  2. 実行段階: applescript:// URLスキームでScript Editorを起動(Terminalを使わずClickFix対策を回避)
  3. 偽装段階: AppleのXProtectアップデートを装い、裏でペイロードをダウンロード
  4. 潜伏段階: ~/Library/Application Support/Google/GoogleUpdate.app/ に偽ファイルを配置しLaunchAgentで永続化
攻撃段階 偽装対象 技術的手法
配布 WeChat / Miro 偽インストーラーサイト
実行 macOS Script Editor applescript:// スキーム悪用
偽装 Apple XProtect 偽セキュリティアップデート
潜伏 Google Software Update LaunchAgent永続化

盗まれるデータの範囲

SentinelOneによると、Reaperは以下を標的にします:

  • ブラウザデータ: Chrome、Firefox、Brave、Edge等の認証情報・Cookie
  • 暗号資産ウォレット: Exodus、Atomic、Ledger Live、Trezor Suite
  • macOSキーチェーン: ログインパスワードを直接要求するダイアログを表示
  • ドキュメント: .docx、.wallet、.key、.json等のファイル(150MBまで)

今すぐできる対策

Apple公式サポート(https://support.apple.com/en-us/102445)の推奨事項と合わせて、具体的な対策を紹介します。

ソフトウェアのダウンロード元を厳格に確認する

  • Mac App Storeまたは公式サイトのみからダウンロード
  • Apple公式: 「App Store以外からダウンロードしたソフトウェアには、Developer ID署名とNotarizationの検証が行われる」
  • URLのスペルを目視確認(mlcrosoft のような偽ドメインに注意)

Gatekeeperを無効にしない

Appleは「署名・公証されていないソフトウェアを実行すると、マルウェアによりMacや個人情報が危険にさらされる可能性がある」と明記しています。開発作業で一時的に無効にした場合は必ず再有効化しましょう。

Script Editorの実行に注意する

Reaperの新手法はapplescript://スキーム経由でScript Editorを悪用します。見覚えのないAppleScriptの「実行」ボタンを絶対にクリックしないでください。

不審なLaunchAgentを定期チェック

ls ~/Library/LaunchAgents/ | grep -i google
ls ~/Library/Application\ Support/Google/GoogleUpdate.app/ 2>/dev/null

com.google.keystone.agent.plist が存在し、Google Chromeをインストールしていない場合は感染の可能性があります。

まとめ

  • 「Macは安全」は過去の話。SHub Reaperは最新macOS Tahoe 26.4の対策すらすり抜ける
  • 感染チェーンの各段階でApple・Google・Microsoftに偽装する巧妙な攻撃
  • パスワード・暗号資産・ドキュメントなど広範なデータが窃取対象
  • Apple公式推奨: App Store経由のインストール徹底、Gatekeeper有効化
  • 新手法のScript Editor悪用に注意し、不審なLaunchAgentを定期確認する
管理人
セキュリティ対策は「知っているだけ」では意味がありません。この記事を読んだら、今日中にLaunchAgentsフォルダを確認してみてください!

最後までお読みいただき、ありがとうございました!

セキュリティ
Apple gatekeeper Mac
よかったらシェアしてね
URLをコピーしました
URLをコピーしました
AIエージェントとは?Google「Gemini Spark」で分かる次世代AI活用術【2026年最新】
ブログ広告の最適な配置とは?ユーザーが嫌う広告パターンと対策【2026年調査データ】

この記事を書いた人

くすんちゅ
このサイトの管理人。沖縄在住のフリーランスエンジニア。最近は陸だけでなく、海の中でも見かけられることがある。

関連記事

ソーシャルエンジニアリングとは?手口・事例・対策をわかりやすく解説【2026年最新】
2026年05月17日
ここにはおすすめ商品の名前を入れます
ネットショップ広告商品名1
ここにはおすすめ商品の名前を入れます
ネットショップ広告商品名2
ad here
最新記事
人気記事
おすすめ記事
ほかのブログも見る
インターネット・コンピュータランキング
ad here