2026-02-09 の一覧へ戻るホーム
Google検索からさらに増えるMac向けマルウェア

2026/02/09 5:52

Google検索からさらに増えるMac向けマルウェア

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

改訂要約

この記事は、新しい AMOS/SOMA スティーラーが、Google と Medium からリンクされた偽の Apple‑スタイルサイトへユーザーを誘導することで Mac を感染させることができると警告しています。マルウェアは「how to clear cache on macos tahoe」という検索語で Google のスポンサー付き結果のトップに表示された Medium 投稿から発見されました。具体的には、docs.google.com、business.google.com、および Medium からのリンクです。仮想マシンをロックダウンして実行した場合でも、自動的にユーザーの Documents フォルダーを隠しディレクトリ「FileGrabber」にコピーし、ホームフォルダー内に見えないファイルを作成します:AppleScript(.agent)、Mach‑O バイナリ(.mainHelper)およびプレーンテキストのパスワードファイル(.pass)。また、Notes アプリへのアクセスも要求されます。

配信手法は昨年の ChatGPT ベースの AMOS キャンペーンを模倣しており、Base‑64 の難読化とマルウェア 

curl
コマンドを使用してクォランティン属性なしでペイロードを取得します。ユーザーには Terminal に難読化されたコマンドを貼り付けるよう促されました。

この記事は、プロモートされた検索結果や Google スポンサーリンクに信頼しないことを読者に呼びかけています。クリックする前に URL の出所を確認し、評判の良い Mac 専門サイトを利用し、「Link Unshortener」(App Store から)などのツールで短縮 URL を展開することを推奨しています。完全に信頼できるソース以外の Terminal コマンドは絶対に実行せず、難読化された 

curl
スクリプトには警戒すべきです。

総じて、macOS の保護は、ユーザーが知らずに Terminal で悪意あるコードを実行したり 

curl
を介して実行したりすると回避される可能性があります。記事はオンラインコンテンツの批判的評価とコマンド実行時の慎重さを強調し、マルウェア感染を防ぐことを目的としています

本文

Google の AI がマルウェアスクリプトへのリンクを提供していると報告したのはちょうど 1 か月前。今回も同じ問題が再び発生していますが、わずかな変化があります。Clario の Olena に感謝します。彼女が新しいキャンペーンで AMOS(別名 SOMA)スティールを Mac に配布していると知らせてくれたからです。Vladyslav Kolchin がブログでこの件について語っています。

Vladyslav は docs.google.combusiness.google.com からリンクされる Apple の偽サイトや Medium に投稿された記事の中でこれらを発見しました。私は最後のものを見つけました。それは「how to clear cache on macos tahoe」という検索時に Google のスポンサー結果の上部に表示されていました。

そのことから、medium.com 上の Clear Marek のストーリーへとたどり着きます。そこでは、よくある手口で悪意あるコマンドをターミナルに貼り付けるよう求められます。別の機会には、「公式 Apple サポート」と称するページが表示されることがありますが、明らかにそうではありません。

この攻撃は前回の ChatGPT を介したものとほぼ同一で、Base64 の難読化も非常に似ています。

ダウンロードされた AMOS スティールはロックダウンされた仮想マシン上でも異常なく動作しました。すぐに Documents フォルダーの内容を「FileGrabber」にコピーし、ホームフォルダーのトップレベルにいくつかの隠しファイルを書き込みました:

  • .agent
    – 盗難を実行する AppleScript
  • .mainHelper
    – 主な Mach‑O バイナリ
  • .pass
    – 平文で保存されたパスワード

これらは昨年の ChatGPT デコイメントで配布された AMOS のバージョンと同一です。Documents フォルダーへのアクセスに加え、マルウェアは Notes へのアクセスも要求しています。

主なポイント

  1. 検索エンジンで見たものをすべて疑う。
    特にプロモーションされているコンテンツは金銭目的で押し出されることが多いです。リンクをクリックする前に、そのページがどのように収益化しているかを必ず確認してください。

  2. 由来と真正性をチェックする。
    このケースでは、クリック先が毒入り Medium 記事でした。アドバイスを探す際は、信頼できる Mac 専門家の URL を確認し、短縮リンクは拡張してから開くようにしましょう(例:App Store の Link Unshortener など信頼できるユーティリティを使用)。

  3. 見つけた解決策を批判的に評価する。
    ターミナルでコマンドを実行する前に、信頼できるソースからのものであること、完全な説明があり自分自身がその内容を理解していることを確認してください。提供されたコマンドは真意を隠すために難読化されており、直ちに警戒すべきです。

  4. 悪意のパターンを見抜く。
    スクリプトに 

    curl
    が含まれている場合(マルウェアが検疫属性なしでペイロードを取得するためによく使われる)、それは赤旗です。スクリプト全体が Base64 エンコードされていても、
    curl
    の存在は悪意ある意図を示します。

macOS がこれから保護できない理由は? すべてのステップでユーザーにセキュリティ対策を回避させる仕組みになっているためです。ターミナルは無害なユーザーがパスワードを渡し、実行可能コードをダウンロードするような難読化コマンドを貼り付ける場ではありません。

curl
は検疫なしでマルウェアを受信させてはならず、臨時の署名もそのような悪意ある実行を許可する設計になっていません。

(そして Marek の病気が鶏ヘルペスだという事実は、ある意味適切かもしれません。)

同じ日のほかのニュース

一覧に戻る →

2026/02/08 12:09

ご協力いただけるとのこと、ありがとうございます! 整えたいテキストをお送りください。すぐに丁寧に仕上げさせていただきます。

## Japanese Translation: ``` ## Summary Vouch は、貢献者がコードベースの設定可能な部分と対話する前に「証明(vouch)」される必要がある軽量なコミュニティトラスト管理システムです。また、明示的に「非承認(denounce)」を行うことでそのような対話をブロックできます。信頼関係は単一のフラット `.td` ファイル(Trustdown フォーマット)に保存されます。このファイルでは各行が1つのハンドルを保持し、オプションでプラットフォーム接頭辞(`platform:username`)と先頭マイナス記号が付けられたユーザーは非承認者として扱われ、その後に任意の理由が続きます。GitHub Actions は標準搭載の統合を提供します: - `check-pr` は `pull_request_target` で実行され、PR 作成者のステータスを検証し、未承認または非承認のプルリクエストを自動的に閉じることができます。 - `manage-by-discussion` と `manage-by-issue` は協力者がディスカッションやイシューコメントを通じて証明または非承認を行えるようにします。 Nushell CLI モジュールにより手動制御も可能です:`vouch add <user>`、`vouch denounce <user> [--reason] --write`、`vouch gh-check-pr <pr_id> --repo owner/repo`(ドライランまたは自動閉鎖)、および `vouch gh-manage-by-issue <pr_id> <comment_id> --repo owner/repo` などのコマンドがあります。ステータスチェックは終了コードを返します(`0 = vouched`、`1 = denounced`、`2 = unknown`)。 Vouch は任意のコードフォージで動作するよう設計されていますが、GitHub 統合がすぐに使用できる状態で提供されます。現在は実験段階であり、Ghostty プロジェクトによってテスト中です。このプロジェクトはコミュニティからのフィードバックをもとに機能を洗練しています。今後の計画としては、リポジトリ間で信頼リストをリンクし信頼ネットワークを構築すること、プラットフォームサポートの拡張、および自動化機能の強化が挙げられます。 *検証された参加を強制することで、Vouch は悪意ある貢献を減らし、コードレビューのワークフローを合理化し、安全なコラボレーションをオープンソースメンテナ、企業チーム、および広範なソフトウェア開発エコシステムに奨励することを目指します。``` ```

2026/02/09 6:52

米国におけるソーシャルメディア利用の変化 2020–2024:減少・断片化・極化 (2025)

## Japanese Translation: ## Summary: 本研究は、米国におけるソーシャルメディアの利用が縮小し、より断片化していることを示し、残存する活動の中で政治的に極端なユーザーが支配していると結論付けている。2020–2024年の全国代表データを分析した結果、プラットフォーム全体の利用率は減少し、対象者はやや高齢化し教育レベルも上昇しており、投稿活動が共和党ユーザーへと明確にシフトしている—特にTwitter/Xで顕著だ。既存研究では若年層と高齢層の両方で減少傾向が指摘されていたが、本稿は新しいデータを用いてそれらの発見を更新し、TikTokやRedditはわずかに成長しているものの、Facebook、YouTube、Xは市場シェアを失っていることを示唆している。予測される動向として、オンライン公共圏はより小規模で鋭く、極端な意見が支配するようになるとされ、一般ユーザーは離脱しつつも党派的声は依然として高いままである。この結果は、デジタル環境のさらなる分極化を招き、プラットフォームに広範なオーディエンスを維持する課題を投げかけるとともに、広告主や政治戦略家、民主的議論に関心を寄せる政策立案者にも影響を与える可能性がある。 ## Summary Skeleton **What the text is mainly trying to say (main message)** 本研究は、米国におけるソーシャルメディアの利用が縮小し、より断片化していることを示し、残存する活動の中で政治的に極端なユーザーが支配していると結論付けている。 **Evidence / reasoning (why this is said)** 全国代表性のある2020–2024年のANESデータは、全体的なプラットフォーム利用率の低下、やや高齢化し教育レベルが上昇したオーディエンス、および投稿活動が共和党ユーザーへとシフトしている—特にTwitter/Xで顕著だという事実を示している。 **Related cases / background (context, past events, surrounding info)** 以前の分析では若年層と高齢層の両方で利用減少が報告されており、本稿は新しいデータでそれらの発見を更新し、TikTokやRedditはわずかに成長している一方でFacebook、YouTube、Xは市場シェアを失っていることを指摘している。 **What may happen next (future developments / projections written in the text)** オンライン公共圏は小規模で鋭く、よりイデオロギー的に極端になると予測されており、カジュアルユーザーは離脱しつつも党派的声は依然として発言力を保っている。 **What impacts this could have (users / companies / industry)** ユーザーはより分極化したデジタル環境に直面し、プラットフォームは広範なオーディエンスの維持に課題を抱えることになる。トレンドは広告主や政治戦略家、民主的議論に関心を寄せる政策立案者にも影響を与える可能性がある。

2026/02/09 7:25

SGI O2 のプロンプトを逆解析する (原文: “Reverse Engineering the Prompt for the SGI O2”)

## Japanese Translation: > 著者は **`ip32prom-decompiler`** を開発しました。このツールは、SGI O2 マシンで使用されている 512 KiB の IP32 PROM を *ビット単位で同一* な MIPS アセンブリ (.S) ファイルに逆アセンブルし、ラベル、コメント、および関数境界を完全に含みます。 > > 各「SHDR」セクション(長さ・名前・バージョン・タイプフラグ(コード/メタデータ)・任意のメタデータ・2 つのチェックサム)を解析することで、ツールはファームウェアの 3 つのサブセクションを再構築します:`.text` は `0x81000000` に、`.rodata` は `0x81048e70` に、そして `.data` は `0x81054100` に配置されます。チェックサムアルゴリズムは 32‑ビット語全体の 2 の補数和であり、セクションデータと SHDR 自体の両方に適用されます。 > > 到達可能なコードを幅優先探索し、相対/絶対分岐、ジャンプテーブル、および構築されたアドレスに特別な処理を行うことで、バイナリ命令の約 **90 %** を回復します。可視化(XPM 画像)はコード、ヘッダー/チェックサム、ASCII データ、アクセス済みメモリ、nop パディング、および未知のバイトを色分けし、手動解析を支援します。また、コンパイラ遅延スロットによって導入された到達不能またはデッドコードが検出され、注釈付きで記録されます。 > > 逆アセンブルされたアセンブリは同一の ROM イメージに再構成でき、PROM 構造を完全に理解していることを確認します。ファームウェアがこれからゼロから再構築可能になったため、将来の CPU アップグレード(例:新しいプロセッサの導入)は SGI のサポートに依存せずに実行できるようになり、O2 の PROM が変更不可能であるという長年の制約を克服します。この成果は、ホビイストやレトロコンピューティング愛好者に対しても、レガシーファームウェアのリバースエンジニアリング手法として信頼性の高い方法を提供します。 *この改訂版サマリーは、リストからすべての主要ポイントを取り入れつつ、曖昧または推測的な表現を排除して明確に保っています。*