✅この記事では、macOS 26.4で静かに入ったClickFix対策と、それをすでに回避しはじめた攻撃手口、そして同じアップデート周辺で起きているRosetta 2終了のカウントダウンや周辺機器の不具合までをまとめて整理します。「コマンドを貼り付けるだけ」で感染する一クリック型マルウェアの温度感が、ここ数週間でかなり変わってきました。
- 要点まとめ:macOS 26.4まわりで今起きていること
- ClickFixとは何だったのか、そしてなぜ怖いのか
- スクリプトエディタを呼び出す「applescript://」回避の正体
- AI Trustを突くAMOS、検索結果からの感染ルート
- 日本のユーザーが今すぐできる現実的な防御
- 同じ26.4世代で動いているもうひとつの地殻変動、Rosetta 2とIntelの終わり
- 見落としやすい不具合、50日バグと周辺機器トラブル
- 海外の反応:慣れた人ほどやられるClickFix
- ひとこと:Apple標準ツールの利便性とセキュリティの綱引き
- まとめ:26.4は過渡期、足元と未来を同時に整える
どうも、となりです。
Macはウイルスに強い、という感覚で使っている人、まだ多いと思うんですよね。実際AppleはmacOSのあちこちに多層の防御を積んできましたし、Gatekeeper・公証・XProtect・System Integrity Protectionの流れは、基本的に「署名されていない怪しい実行ファイルを止める」設計として素直に効いてきた。でも今回のClickFixは、その前提を真横からすり抜けてきます。実行ファイルではなく、ユーザー自身に「ターミナルへ貼り付けて実行させる」攻撃だからです。
そしてmacOS 26.4では、Appleがリリースノートに書かないまま、この貼り付け攻撃に警告を出す仕組みを入れました。いい話のはずなんですが、早々に「じゃあターミナルじゃなくてスクリプトエディタを使えばいい」という回避手口が観測されはじめている。しかも裏で動くマルウェアは、企業向け盗難デバイス保護の自動化やRosetta 2終了のカウントダウンと同じタイミングで広がってきています。情報が多いので、日本のユーザー目線で整理していきます。
要点まとめ:macOS 26.4まわりで今起きていること
セキュリティ強化と新しい攻撃、そして移行期ならではの不具合が同時進行しています。まずは全体像を1枚で把握しておきましょう。
- macOS Tahoe 26.4でターミナルへの不審なコマンド貼り付けに警告を出す仕組みが非公式に導入された
- 攻撃側はターミナル警告を避けるため、ブラウザからapplescript://でスクリプトエディタを直接開かせる手口へ移行
- Google検索でChatGPTやGrokの「偽の会話ページ」が上位に現れ、そこからAMOS(Atomic Stealer)をダウンロードさせる攻撃が確認
- macOS 26.4.1/iOS 26.4.1ではiCloud同期バグの修正と、企業向け盗難デバイス保護の自動有効化が含まれる
- macOS 26.4からはRosetta 2使用アプリ起動時に将来の非互換性を通知するポップアップが表示
- macOS 27でRosetta 2とIntel Macサポートは終了の見込み
- 連続稼働49.7日を超えるとTCP通信が止まる「50日接続エラー」が報告され、現状は早めの再起動が推奨
- 26.4アップデート後にキーボードショートカットやマウス操作が効かなくなる報告もReddit中心に出ている
ClickFixとは何だったのか、そしてなぜ怖いのか
そもそもClickFixは、ウェブ上で「認証のためにこのコマンドをコピーして貼り付けてください」「エラー修復のためにこれを実行してください」と指示し、ユーザー自身にターミナルで悪意あるコマンドを走らせる手口です。実行ファイルを経由しないので、Gatekeeperや公証の壁に引っかからない。攻撃の本体はユーザーの「自分の手で貼り付けた」という行為の中にあります。
macOS 26.4では、ここにAppleが初めて直接的な介入を入れてきました。ターミナルに不審なコマンドを貼り付けようとすると「このコマンドは攻撃に使われる可能性がある」という主旨の警告が挟まる仕組みです。ただ、Appleのリリースノートには明記がなく、段階的展開なのか実験機能なのかも公式には示されていません。ここは現状不透明なままです。
見落としがちなのは、この警告が「ターミナルで起きるかどうか」に強く依存している点です。macOSにはAppleScriptを扱う別の標準ツールがあって、そこには今回の警告は入っていません。攻撃者はそこに目をつけました。
スクリプトエディタを呼び出す「applescript://」回避の正体
Jamfなどが報告している新しい手口は、ブラウザからapplescript://というURLスキームを叩くことで、macOS標準の「スクリプトエディタ」を直接開き、悪意のあるコードを流し込むものです。ユーザー目線では、ウェブページ上の「このボタンを押して認証を完了」をクリックしただけ。開いたスクリプトエディタで実行ボタンを押した瞬間に、バックグラウンドで全部が走ります。
ポイントは2つあります。ひとつは、スクリプトエディタが標準添付の正規アプリで、Gatekeeperや公証の対象にならないこと。もうひとつは、ターミナルに入った新しい警告がここには適用されないことです。つまり、AppleがClickFixに対して張った新しい防御線のすぐ横に、もともと開いていた別の扉があった、という話です。
いや、それって実質「ターミナルを塞いでも、同じことが別の標準アプリでできてしまう」わけで、防御の難しさはそこです。Appleの自動化機能の強みはそのまま攻撃面にもなる。Macの標準ツールだけで攻撃が完結する「Living off the Land」型の流れを、今回の26.4はむしろ可視化したとも言えます。
AI Trustを突くAMOS、検索結果からの感染ルート
この回避手口に乗っているのが、Mac向け情報窃取マルウェアの定番AMOS(Atomic Stealer)です。Huntressなどが指摘する最新ルートは、Google検索で「Macのディスク容量を空ける方法」のような一般的なクエリを打つと、ChatGPTやGrokの「偽の会話ページ」が上位に出てくるというもの。ページ内では「このコマンドを実行するとキャッシュが消せる」とAIアシスタントが答えた体裁で、実際にはAMOSを落とす一行が貼られています。
AMOSの挙動自体も、だいぶ素直に怖い作りです。dscl -authonlyでユーザーのパスワードを検証したり、ネイティブに似せた偽のパスワードプロンプトを出したり、キーチェーン・仮想通貨ウォレット・ブラウザのCookieをまとめて抜き出したうえで/tmpにバックドアを置いて帰っていきます。キーチェーンまで取れれば、多要素認証を張っていないサービスは軒並み踏まれるので、被害の広がり方は「1台感染」では済みません。
AI Trust、つまり「AIがそう言っているなら大丈夫だろう」という心理の突かれ方が、これまでのフィッシングと質的に違うところです。URLを見るリテラシー、送信元を疑う習慣では止まりづらい。日本のユーザーも、検索からそのままコマンドをコピペするワークフロー自体を見直す時期に入ったと考えるのが自然です。iCloudバックアップを狙う大規模フィッシングへのAdvanced Data Protection活用の話とあわせて、入り口ごと絞る発想が効いてきます。
日本のユーザーが今すぐできる現実的な防御
ここは対策の話なので、過度に悲観せず具体的に書きます。macOSのSystem Integrity Protectionやキーチェーン保護自体は健在で、基本の運用を崩さなければAMOSの一撃でMacが終わる、という状況ではありません。
- 検索結果に出てくるAIの会話風ページから、ターミナルやスクリプトエディタに直接コマンドを貼らない
- 「パスワードを聞いてくるポップアップ」が正しい文脈で出ているか一呼吸置く
- Homebrewなど正規ツールは公式サイトのURLを直接ブックマーク経由で開く
- ウェブから「applescript://」リンクを開くようブラウザに促された場合は、原則キャンセル
- キーチェーンとブラウザのCookieは、感染時に即漏れる前提でパスワード使い回しをやめる
企業で複数台を管理しているなら、MDM側でスクリプトエディタやターミナルの起動ポリシーを見直す余地もあります。これは個人ユーザーには重い話ですが、業務Macでは一考の価値あり、というレベル感です。
同じ26.4世代で動いているもうひとつの地殻変動、Rosetta 2とIntelの終わり
セキュリティと並行して、macOS 26.4はもうひとつ大きな節目を含んでいます。Rosetta 2を使って起動するアプリを開くと、「将来のmacOSでは動かなくなる可能性がある」という主旨の通知が出るようになりました。そしてmacOS 27を最後にRosetta 2のサポートは終了、Intel Macのサポートもここで区切りがつく見込みです。
Appleシリコン移行は2020年のM1から始まり、もう6年目に入ります。Rosetta 2は「過去のIntel資産を殺さずに次に進む」ための過渡期の仕組みで、延々残すものではありません。AppleがIntel版バイナリを含むUniversal Binaryを段階的に整理してきた流れや、開発者向けにarm64ネイティブを強く推してきた流れを振り返ると、今回の通知は「想定どおりの着地点」と見るのが自然です。
日本のユーザー目線で引っかかるのは、業務で使うレガシーソフトの扱いです。会計、CAD、医療、教育など、Intel時代のバイナリを現役で使っているケースはまだ珍しくありません。ここでの判断は、「Rosetta 2前提で何年使うつもりか」を棚卸しして、買い替えやアプリ更新の見積もりをmacOS 27の一つ前までに済ませる、という計画に落とすのが現実的です。
見落としやすい不具合、50日バグと周辺機器トラブル
もうひとつ地味に重いのが、macOSの「50日接続エラー」バグです。ネットワーク関連のカウンタが連続稼働約49.7日(2の32乗ミリ秒)を超えたところでオーバーフローし、TCPクロックが停止して通信が止まるという報告。普段Macを閉じずに使い続けるクリエイティブ環境やサーバ的な使い方をしていると、ある日いきなり「ネットだけつながらない」状態に遭遇します。
今のところ修正作業は進んでいるものの、公式に「解消した」とは出ていません。しばらくは49日以内での再起動を目安に運用するのが無難です。気になる人はSSH越しの監視や、uptime確認の習慣を組み込んでおくといいと思います。
26.4アップデート後の周辺機器の不具合も並行して出ています。Redditでは「キーボード最上段のショートカットが効かなくなった」「アクセシビリティ経由のマウスクリックやスワイプが動かない」といった報告がまとまって見られ、Adguard Miniなど一部のユーティリティとの競合も指摘されています。ここはmacOS 26.4.1のWi-Fi修正アップデートや、iOS 26.4.1のiCloud同期・盗難デバイス保護の変更とあわせて、体感の悪さを感じたら小刻みに更新していく方向です。
海外の反応:慣れた人ほどやられるClickFix
海外フォーラムでの温度は、批判と困惑が半々です。特にSRE・エンジニア層からの「自分も踏んだ」告白が重く受け止められています。
I'm a 25 year SRE - and I fell for a shell injection... the SEO poisoning + fake homebrew site combo is terrifyingly effective because its targeting muscle memory.
(25年経験のあるSREだが、シェルインジェクションに引っかかってしまった。SEOポイズニングと偽Homebrewサイトの組み合わせは、筋肉の記憶を突いてくるので恐ろしく効果的だ)
Reddit / r/cybersecurity
since then (update to 26.4), shortcuts in the top row of my keyboard... and most actions when clicking the apple icon (sleep, restart, shutdown) no longer work.
(26.4にアップデートしてから、キーボード最上段のショートカットや、リンゴマークからのスリープ・再起動などが全く効かなくなった)
Reddit / r/applehelp
Apple has completely ruined this. There were lots of mouse bugs before iPadOS 26.4, but... after updating it made the update completely ruin how I use my iPad.
(Appleはこれを完全に台無しにした。iPadOS 26.4以前もマウスのバグは多かったが、アップデート後は使い勝手が完全に壊れた)
Reddit / r/iphone
となりの見方:経験年数や肩書きで防げないのがClickFixの怖さで、「慣れて速く打つ人」ほど引っかかりやすい構図になっています。不具合側も含めて、26.4は「一度立ち止まって確認する」コストを受け入れるバージョンだと捉えたほうが、体感とのズレが少なくなりそうです。
ひとこと:Apple標準ツールの利便性とセキュリティの綱引き
AppleScriptやショートカット.app、ターミナルといった標準の自動化ツールは、Macの生産性を支えてきた柱でもあります。そこに「ウェブから直接叩かれる」攻撃面があると分かったとき、Appleはどこまで蓋を閉めるのか。便利さと安全性のどちらかに倒せばいい単純な話ではなく、applescript://スキームの扱いやスクリプトエディタの警告設計が、次のmacOSで地味に問われてくるはずです。このあたりは公式発表を待ちつつ、ベータのリリースノートを追いかける価値があるテーマです。
まとめ:26.4は過渡期、足元と未来を同時に整える
macOS 26.4は、ClickFix対策という新しい一歩を踏み出しつつ、スクリプトエディタ悪用で早くも回避されはじめているという、セキュリティの過渡期を象徴するアップデートでした。Rosetta 2終了とIntel Mac終焉のカウントダウンも同時に始まり、50日バグや周辺機器不具合のようなノイズも混ざっています。
今の距離感としては、検索からのコマンド貼り付け習慣を見直しつつ、26.4.1系のパッチは様子を見ながら当てる、そしてRosetta 2前提の業務ソフトはmacOS 27までに整理しておく。全部を今日片付ける必要はなくて、半年スパンで落ち着いて棚卸しする感じで十分だと思います。
ではまた!
Source:Jamf
