前回の5327から1つ飛ばして5329です
XProtect.bundleは2箇所にあります
通常系とiCloud系です
/Library/Apple/System/Library/CoreServices/XProtect.bundle
/private/var/protected/xprotect/XProtect.bundle
アップデートは2系統
xprotectとsoftwareupdateです
まずは
xprotect
| 行番号 | ソース |
|---|---|
| 001 | アップデートは2系統 |
| 002 | xprotectとsoftwareupdateです |
| 003 | まずは |
| 004 | xprotect |
| 005 | |
| 006 | #アップデート前 |
| 007 | #チェック |
| 008 | /usr/bin/sudo /usr/bin/xprotect check |
| 009 | #バージョン |
| 010 | /usr/bin/xprotect version |
| 011 | #アップデート |
| 012 | /usr/bin/sudo /usr/bin/xprotect update |
| 013 | |
| 014 | #アップデート後 |
| 015 | #チェック |
| 016 | /usr/bin/sudo /usr/bin/xprotect check |
| 017 | #バージョン |
| 018 | /usr/bin/xprotect version |
| 019 | #ステータス |
| 020 | /usr/bin/xprotect status |
| AppleScriptで生成しました | |
| 行番号 | ソース |
|---|---|
| 001 | #リスト |
| 002 | /usr/sbin/softwareupdate --list --recommended --include-config-data |
| 003 | #ダウンロード |
| 004 | /usr/sbin/softwareupdate --download --recommended --include-config-data |
| 005 | #インストール |
| 006 | /usr/bin/sudo /usr/sbin/softwareupdate --install --recommended --include-config-data |
| AppleScriptで生成しました | |
| 行番号 | ソース |
|---|---|
| 001 | OSver: 26.2 |
| 002 | CUPS: 2.3.4 |
| 003 | iCloud XProtect: /private/var/protected/xprotect |
| 004 | In var XProtect.bundle Ver: 5327 |
| 005 | Legacy XProtect: /Library/Apple/System/Library/CoreServices |
| 006 | In Library XProtect.bundle Ver: 5327 |
| 007 | XProtect.app: 156 |
| 008 | XProtectPluginService.xpc: 74 |
| 009 | MRT.app: 1.93 |
| 010 | AppleKextExcludeList.kext: 21.0.0 |
| 011 | /usr/bin/sudo /usr/bin/xprotect check |
| 012 | Current update: date: 2026-02-10 19:18:34 +0000 version: 5329 |
| 013 | /usr/bin/xprotect version |
| 014 | Version: 5327 Installed: 2026-02-04 04:01:39 +0000 |
| 015 | /usr/bin/sudo /usr/bin/xprotect update |
| 016 | Starting update. |
| 017 | Update succeeded: Activated update CloudKitUpdate[v5329 - current @ 2026-02-10 19:18:34 +0000] |
| 018 | /usr/bin/sudo /usr/bin/xprotect check |
| 019 | Current update: date: 2026-02-10 19:18:34 +0000 version: 5329 |
| 020 | /usr/bin/xprotect version |
| 021 | Version: 5329 Installed: 2026-02-11 02:21:53 +0000 |
| 022 | /usr/bin/xprotect status |
| 023 | XProtect launch scans: enabled |
| 024 | XProtect background scans: enabled |
| 025 | /usr/sbin/softwareupdate --list --recommended --include-config-data |
| 026 | 2026-02-11T02:21:53Z |
| 027 | Software Update Tool |
| 028 | |
| 029 | Finding available software |
| 030 | Software Update found the following new or updated software: |
| 031 | * Label: XProtectPlistConfigData_10_15-5329 |
| 032 | Title: XProtectPlistConfigData, Version: 5329, Size: 1249KiB, Recommended: YES, |
| 033 | 2026-02-11T02:21:59Z |
| 034 | /usr/sbin/softwareupdate --download --recommended --include-config-data |
| 035 | 2026-02-11T02:21:59Z |
| 036 | Software Update Tool |
| AppleScriptで生成しました | |
たとえば
ルールファイルがあります
| 行番号 | ソース |
|---|---|
| 001 | /private/var/protected/xprotect/XProtect.bundle/Contents/Resources/XPScripts.yr |
| 002 | /Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XPScripts.yr |
| AppleScriptで生成しました | |
クッキーを取得するような物はマルウェアって判定しています
署名のチェックはGateKeeper マルウェアはXProtectです
/Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XPScripts.yr
を
テキストエディタで開いて確認するとどのような
AppleScriptを利用したマルウェアがあって何をしようとしているのか?
だいたいわかってくると思います
情報取得系とCURLを使った2次処理系に/LaunchDaemonsに登録するようなものが登録されていますが
思っていたほど数は多く無いです20点に届かない程度の数です
もう少しあるような気もするけど、これだけ見ても、MacOSをターゲットにしたマルウェアは少ないと言って良いでしょう。
でも
『あるので』注意はやっぱり必要です
もう一つがyaraルール
| 行番号 | ソース |
|---|---|
| 001 | /Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.yara |
| 002 | /private/var/protected/xprotect/XProtect.bundle/Contents/Resources/XProtect.yara |
| AppleScriptで生成しました | |
こちらは主に『バイナリー』の解析ものが多いですね
こちらは300点ぐらい登録されています。
Gatekeeperの警告『開発元を識別できない…』を無視して
よくわからないバイナリーやアプリケーションを実行するのは
見知らぬ人に家の鍵を預けて、中身を自由に見てもいいよと言うのと同じになる『場合がある』わけで
その後で
Xprotectが内容を精査するけど
300種類ぐらいのものなので全てに対応しているわけでもありません
普段からのセキュリティに対しての意識が大切ですね
macOS26.3直後のセキュリティアップデート
| 行番号 | ソース |
|---|---|
| 001 | zsh $ |
| 002 | zsh $ |
| 003 | zsh $ /bin/date;/usr/sbin/softwareupdate --list --recommended --include-config-data;/bin/date; |
| 004 | 2026年 2月12日 木曜日 17時58分02秒 JST |
| 005 | Software Update Tool |
| 006 | |
| 007 | Finding available software |
| 008 | |
| 009 | Software Update found the following new or updated software: |
| 010 | * Label: MRTConfigData_10_15-1.93 |
| 011 | Title: MRTConfigData, Version: 1.93, Size: 4595KiB, Recommended: YES, |
| 012 | * Label: XProtectPlistConfigData_10_15-5329 |
| 013 | Title: XProtectPlistConfigData, Version: 5329, Size: 1249KiB, Recommended: YES, |
| 014 | * Label: GatekeeperCompatibilityData-1.0 |
| 015 | Title: Gatekeeper Compatibility Data, Version: 1.0, Size: 7108KiB, Recommended: YES, |
| 016 | * Label: XProtectPayloads_10_15-156 |
| 017 | Title: XProtectPayloads, Version: 156, Size: 23594KiB, Recommended: YES, |
| 018 | 2026年 2月12日 木曜日 17時58分04秒 JST |
| 019 | zsh $ |
| 020 | zsh $ |
| 021 | zsh $ |
| 022 | zsh $ /bin/date;/usr/sbin/softwareupdate --install --recommended --include-config-data;/bin/date; |
| 023 | 2026年 2月12日 木曜日 17時58分13秒 JST |
| 024 | Software Update Tool |
| 025 | |
| 026 | Finding available software |
| 027 | |
| 028 | Downloading XProtectPayloads |
| 029 | Downloading MRTConfigData |
| 030 | Downloading XProtectPlistConfigData |
| 031 | Downloading Gatekeeper Compatibility Data |
| 032 | Downloaded MRTConfigData |
| 033 | Downloaded XProtectPlistConfigData |
| 034 | Downloaded XProtectPayloads |
| 035 | Downloaded Gatekeeper Compatibility Data |
| 036 | Installing XProtectPayloads, MRTConfigData, XProtectPlistConfigData, Gatekeeper Compatibility Data |
| 037 | Done with XProtectPayloads |
| 038 | Done with MRTConfigData |
| 039 | Done with XProtectPlistConfigData |
| 040 | Done with Gatekeeper Compatibility Data |
| 041 | Done. |
| 042 | 2026年 2月12日 木曜日 17時58分35秒 JST |
| 043 | zsh $ |
| 044 | zsh $ |
| 045 | zsh $ |
| AppleScriptで生成しました | |