AppleScriptはmacOSに標準搭載されているスクリプト言語で、アプリケーション間のIPC（プロセス間通信）を通じてシステム操作を自動化できる強力な機能を持っています。しかし、この便利な機能は攻撃者にとっても格好のツールとなっています。MITRE ATT&CKフレームワークではT1059.002として分類されるAppleScriptの悪用は、macOS環境を狙う高度な攻撃グループによって実際に利用されています。本記事では、AppleScriptを悪用した攻撃手法の仕組み、実際のAPT事例、そして効果的な検知・緩和策を詳しく解説します。

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.
※本サイトはMITRE非公式の解説サイトです。公式情報はMITRE ATT&CK公式サイトをご確認ください。

T1059.002 AppleScriptとは？MITRE ATT&CKの定義

MITRE ATT&CKにおけるT1059.002は、「Command and Scripting Interpreter: AppleScript」として定義される攻撃テクニックです。これはT1059 コマンドおよびスクリプトインタプリタのサブテクニックの一つで、攻撃者がmacOS環境でAppleScriptを利用してコマンドを実行する手法を指します。

AppleScriptはmacOS（旧Mac OS X）に標準搭載されているスクリプト言語であり、OSが提供するApple Eventsという仕組みを利用してアプリケーション間通信を実現します。攻撃者はosascriptコマンドラインユーティリティを通じて、あるいはスクリプトファイルを直接実行して悪意のあるコードを実行できます。

ATT&CKにおける位置づけ

• 戦術（Tactic）：Execution（実行）
• テクニック：T1059 Command and Scripting Interpreter
• サブテクニック：T1059.002 AppleScript
• プラットフォーム：macOS
• 関連サブテクニック：T1059.001 PowerShell、T1059.005 Visual Basic

攻撃者がAppleScriptを悪用する理由

AppleScriptが攻撃者にとって魅力的なツールとなる理由は複数あります。macOS環境に標準で搭載されている正規ツールであるため、いわゆる「Living off the Land（環境寄生型）」攻撃が可能です。

osascriptコマンドの悪用

osascriptはmacOSのコマンドラインからAppleScriptを実行するためのユーティリティです。攻撃者はこのコマンドを使って以下のような操作を実行できます。

• シェルコマンドの実行：do shell script命令を使い、任意のUNIXコマンドを実行
• ファイル操作：ファイルの作成・削除・移動・コピーを自動化
• ネットワーク通信：curl等のコマンドをラップしてC2サーバーと通信
• GUI操作の自動化：System Eventsを利用したキーストローク送信やメニュー操作

IPC（プロセス間通信）機能の悪用

AppleScriptの最大の特徴は、Apple Eventsを通じた他アプリケーションとのIPC機能です。この機能を悪用することで以下が可能になります。

• メールアプリの操作：Mail.appを制御して機密メールの転送や添付ファイルの抽出
• ブラウザの操作：Safariのタブ操作やURLアクセス、Cookie情報の取得
• Finderの操作：ファイルシステムの探索やネットワーク共有へのアクセス
• キーチェーンへのアクセス：資格情報の窃取を試みる操作

実際の攻撃事例：APTグループによるAppleScript悪用

AppleScriptの悪用は理論上の脅威ではなく、複数の高度攻撃グループ（APT）によって実際に確認されています。

OceanLotus（APT32）

ベトナムを拠点とするとされるAPTグループ「OceanLotus（APT32）」は、macOSを標的とした攻撃キャンペーンでAppleScriptを積極的に活用しています。同グループはmacOS向けのバックドアにAppleScriptベースのペイロードを組み込み、osascript経由でシステム情報の収集やC2通信を実行しました。特に東南アジア地域のジャーナリストや人権活動家を標的とした攻撃において、この手法が確認されています。

Lazarus Group

北朝鮮に関連するとされる「Lazarus Group」は、macOS環境への侵入後の活動でAppleScriptを利用するケースが報告されています。暗号資産関連企業を狙ったソーシャルエンジニアリング攻撃の後段階で、AppleScriptを用いた情報収集や永続化が確認されました。

その他の事例

• Bundlore：macOS向けアドウェアがAppleScriptを使ってブラウザ拡張機能をインストール
• XCSSET：Xcodeプロジェクトを介したサプライチェーン攻撃でAppleScriptペイロードを展開
• OSX/Dok：プロキシ設定の変更にAppleScriptを使用し、中間者攻撃を実現

検知方法：AppleScript悪用を見抜く

AppleScriptの悪用を効果的に検知するには、複数のレイヤーでの監視が必要です。

プロセス監視（osascriptの実行検知）

最も基本的な検知手法は、osascriptプロセスの実行を監視することです。

• osascriptの起動ログ：osascriptが実行された日時、親プロセス、引数を記録
• 異常な親プロセス：Webブラウザやメールクライアントからosascriptが起動された場合は要注意
• コマンドライン引数の監視：-eオプションでインラインスクリプトが実行される場合、攻撃の可能性が高い

Syslog・統合ログによる監視

macOSの統合ログ（Unified Logging System）を活用した検知も有効です。

• log show --predicate 'process == "osascript"' でosascript関連ログを抽出
• Apple Eventsのログからアプリケーション間通信の異常を検知
• TCC（Transparency, Consent, and Control）フレームワークのログで権限アクセスを監視

EDR（Endpoint Detection and Response）の活用

商用EDR製品を導入している環境では、以下の検知ルールが有効です。

• osascriptによるdo shell scriptの実行パターン
• AppleScriptからのネットワーク通信（特に外部IPへの接続）
• System Events経由のGUI操作（キーストローク送信、スクリーンキャプチャ）
• 権限昇格を試みるAppleScriptの実行（with administrator privileges句の使用）

緩和策：AppleScript悪用を防ぐ

AppleScriptの悪用リスクを低減するための具体的な対策を紹介します。

macOS標準のセキュリティ機能の活用

• Gatekeeper：署名されていないアプリケーションの実行をブロック
• TCC（Transparency, Consent, and Control）：アプリケーションのアクセス許可を厳格に管理。AppleScriptによるアクセシビリティ機能の利用を制限
• SIP（System Integrity Protection）：システムファイルの改変を防止
• XProtect：既知のマルウェア署名に基づくAppleScriptペイロードの検知

MDM（モバイルデバイス管理）による制御

• 構成プロファイルでAppleScriptの実行を制限
• osascriptバイナリへのアクセス制御を適用
• 許可されたスクリプトのみ実行可能なホワイトリスト方式の導入

運用面での対策

• 最小権限の原則：ユーザーアカウントに不要な管理者権限を付与しない
• アプリケーション制御：業務に不要なスクリプティング機能を無効化
• セキュリティ意識向上：従業員に対するフィッシング対策トレーニング（AppleScript実行を促す攻撃への対処）
• 定期的な監査：osascriptの実行ログを定期的にレビュー

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
AppleScriptを悪用したmacOS攻撃に対抗するには、信頼性の高いセキュリティソフトの導入を強くお勧めします。

• ESET（イーセット） — 誤検知が少なく軽量。中小企業に人気のコスパ重視セキュリティソフト ※PR
• ウイルスバスター — 日本語サポートが充実。国産ソフトで中小企業導入実績多数 ※PR
• Norton（ノートン） — 世界最大手のセキュリティベンダー。VPN機能も含む総合対策 ※PR

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ

T1059.002 AppleScriptの悪用は、macOS環境における深刻な脅威です。本記事の要点を整理します。

• AppleScriptはmacOS標準のスクリプト言語であり、osascriptコマンドやIPC機能を通じて攻撃者に悪用される
• OceanLotus（APT32）やLazarus Groupなど、実際のAPTグループがmacOS標的攻撃にAppleScriptを利用している
• 検知にはosascriptプロセスの監視、統合ログの分析、EDRの活用が効果的
• TCC・Gatekeeper・SIPなどmacOS標準のセキュリティ機能とMDMによる制御が緩和策の要
• 最小権限の原則と定期的な監査が運用面での基本対策となる

macOSは「安全なOS」という認識がありますが、AppleScriptのような正規機能が攻撃に転用される事例は増加しています。自社のmacOS環境を守るために、本記事で紹介した検知・緩和策の導入を検討してください。

参考リンク

• MITRE ATT&CK T1059.002 – AppleScript（公式）
• IPA（情報処理推進機構）セキュリティ情報
• JPCERT/CC
• NISC（内閣サイバーセキュリティセンター）
• Apple – AppleScript公式ガイド

関連記事：T1059 コマンドおよびスクリプトインタプリタとは？ | T1059.001 PowerShellを悪用した攻撃手法 | T1059.005 Visual Basic（VBA/VBScript）を悪用した攻撃手法

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.
本ページは非公式翻訳・解説です。正確な情報はMITRE公式サイトをご参照ください。

The post T1059.002 AppleScriptを悪用した攻撃手法と検知方法【MITRE ATT&CK】 appeared first on AI Security Review.