QuickTimer: XProtect

これを書いている時点では
com.apple.SoftwareUpdateの設定で restrict-software-update-require-admin-to-installの設定をTRUEにしていると
/usr/sbin/softwareupdate --download
/usr/sbin/softwareupdate --install
の
コマンドは失敗する（ストールする）
"/Library/Preferences/com.apple.SoftwareUpdate.plist"
と
"/Library/Managed Preferences/com.apple.SoftwareUpdate.plist"
の
両方に設定があるが
設定値を変更してもMDMのロードが有効なようで
softwareupdateコマンドは失敗する

サンプルソース（参考）
行番号	ソース
001	アップデートは２系統
002	xprotectとsoftwareupdateです
003	まずは
004	xprotect
005	#アップデート前
006	#チェック
007	/usr/bin/sudo /usr/bin/xprotect check
008	#バージョン
009	/usr/bin/xprotect version
010	#アップデート
011	/usr/bin/sudo /usr/bin/xprotect update
012	#アップデート後
013	#チェック
014	/usr/bin/sudo /usr/bin/xprotect check
015	#バージョン
016	/usr/bin/xprotect version
017	#ステータス
018	/usr/bin/xprotect status
019
020	softwareupdateは
021	#リスト
022	/usr/sbin/softwareupdate --list --recommended --include-config-data
023	#ダウンロード
024	/usr/sbin/softwareupdate --download --recommended --include-config-data
025	#インストール
026	/usr/bin/sudo /usr/sbin/softwareupdate --install --recommended --include-config-data
AppleScriptで生成しました

ログ

サンプルソース（参考）
行番号	ソース
001
002	OSver: 26.3
003	CUPS: 2.3.4
004	iCloud XProtect: /private/var/protected/xprotect
005	In var XProtect.bundle Ver: 5330
006	Legacy XProtect: /Library/Apple/System/Library/CoreServices
007	In Library XProtect.bundle Ver: 5329
008	XProtect.app: 156
009	XProtectPluginService.xpc: 74
010	MRT.app: 1.93
011	AppleKextExcludeList.kext: 21.0.0
012	/usr/bin/sudo /usr/bin/xprotect check
013	Current update: date: 2026-02-18 00:55:01 +0000 version: 5330
014	/usr/bin/xprotect version
015	Version: 5330 Installed: 2026-02-18 01:15:56 +0000
016	/usr/bin/sudo /usr/bin/xprotect update
017	Starting update.
018	No update applied, already up to date
019	/usr/bin/sudo /usr/bin/xprotect check
020	Current update: date: 2026-02-18 00:55:01 +0000 version: 5330
021	/usr/bin/xprotect version
022	Version: 5330 Installed: 2026-02-18 01:15:56 +0000
023	/usr/bin/xprotect status
024	XProtect launch scans: enabled
025	XProtect background scans: enabled
026	/usr/sbin/softwareupdate --list --recommended --include-config-data
027	2026-02-18T01:18:48Z
028	Software Update Tool
029
030	Finding available software
031	Software Update found the following new or updated software:
032	* Label: XProtectPlistConfigData_10_15-5330
033	Title: XProtectPlistConfigData, Version: 5330, Size: 1249KiB, Recommended: YES,
034	* Label: XProtectPayloads_10_15-157
035	Title: XProtectPayloads, Version: 157, Size: 23593KiB, Recommended: YES,
036	2026-02-18T01:18:54Z
037	/usr/sbin/softwareupdate --download --recommended --include-config-data
038	2026-02-18T01:18:54Z
039	Software Update Tool
040
041	Finding available software
042
043	Downloading XProtectPlistConfigData
044	Downloading XProtectPayloads
045	Downloaded XProtectPlistConfigData
046	Downloaded XProtectPayloads
047	Done.
048	2026-02-18T01:19:07Z
049	softwareupdateを実行します、最大２時間かかるケースもあります
050	softwareupdate開始: 2026年 2月18日水曜日 10時19分07秒 JST
051	/usr/bin/sudo /usr/sbin/softwareupdate --install --recommended --include-config-data
052	Software Update Tool
053
054	Finding available software
055
056	Downloaded XProtectPlistConfigData
057	Downloaded XProtectPayloads
058	Installing XProtectPlistConfigData, XProtectPayloads
059	Done with XProtectPlistConfigData
060	Done with XProtectPayloads
061	Done.
062	softwareupdate終了: 2026年 2月18日水曜日 10時19分19秒 JST
063
064	スキャン開始します　少し時間がかかります(約１０分)
065	スキャン開始: 2026年 2月18日水曜日 10時19分20秒 JST
066	/Library/Apple/System/Library/CoreServices/XProtect.app/Contents/MacOS/XProtect
067	スキャン終了しました
068	スキャン終了: 2026年 2月18日水曜日 10時19分20秒 JST
069	Starting update.
070	No update applied, already up to date
071	In var XProtect.bundle Ver: 5330
072	In Library XProtect.bundle Ver: 5330
073	XprotectAppVer: 157
074	XPC: 74
075	MRT: 1.93
076	AppleKextExcludeList: 21.0.0
077	zsh $
AppleScriptで生成しました

前回の5327から１つ飛ばして5329です
XProtect.bundleは２箇所にあります
通常系とiCloud系です
/Library/Apple/System/Library/CoreServices/XProtect.bundle
/private/var/protected/xprotect/XProtect.bundle

アップデートは２系統
xprotectとsoftwareupdateです
まずは
xprotect

サンプルソース（参考）
行番号	ソース
001	アップデートは２系統
002	xprotectとsoftwareupdateです
003	まずは
004	xprotect
005
006	#アップデート前
007	#チェック
008	/usr/bin/sudo /usr/bin/xprotect check
009	#バージョン
010	/usr/bin/xprotect version
011	#アップデート
012	/usr/bin/sudo /usr/bin/xprotect update
013
014	#アップデート後
015	#チェック
016	/usr/bin/sudo /usr/bin/xprotect check
017	#バージョン
018	/usr/bin/xprotect version
019	#ステータス
020	/usr/bin/xprotect status
AppleScriptで生成しました

softwareupdateは

サンプルソース（参考）
行番号	ソース
001	#リスト
002	/usr/sbin/softwareupdate --list --recommended --include-config-data
003	#ダウンロード
004	/usr/sbin/softwareupdate --download --recommended --include-config-data
005	#インストール
006	/usr/bin/sudo /usr/sbin/softwareupdate --install --recommended --include-config-data
AppleScriptで生成しました

ログ

サンプルソース（参考）
行番号	ソース
001	OSver: 26.2
002	CUPS: 2.3.4
003	iCloud XProtect: /private/var/protected/xprotect
004	In var XProtect.bundle Ver: 5327
005	Legacy XProtect: /Library/Apple/System/Library/CoreServices
006	In Library XProtect.bundle Ver: 5327
007	XProtect.app: 156
008	XProtectPluginService.xpc: 74
009	MRT.app: 1.93
010	AppleKextExcludeList.kext: 21.0.0
011	/usr/bin/sudo /usr/bin/xprotect check
012	Current update: date: 2026-02-10 19:18:34 +0000 version: 5329
013	/usr/bin/xprotect version
014	Version: 5327 Installed: 2026-02-04 04:01:39 +0000
015	/usr/bin/sudo /usr/bin/xprotect update
016	Starting update.
017	Update succeeded: Activated update CloudKitUpdate[v5329 - current @ 2026-02-10 19:18:34 +0000]
018	/usr/bin/sudo /usr/bin/xprotect check
019	Current update: date: 2026-02-10 19:18:34 +0000 version: 5329
020	/usr/bin/xprotect version
021	Version: 5329 Installed: 2026-02-11 02:21:53 +0000
022	/usr/bin/xprotect status
023	XProtect launch scans: enabled
024	XProtect background scans: enabled
025	/usr/sbin/softwareupdate --list --recommended --include-config-data
026	2026-02-11T02:21:53Z
027	Software Update Tool
028
029	Finding available software
030	Software Update found the following new or updated software:
031	* Label: XProtectPlistConfigData_10_15-5329
032	Title: XProtectPlistConfigData, Version: 5329, Size: 1249KiB, Recommended: YES,
033	2026-02-11T02:21:59Z
034	/usr/sbin/softwareupdate --download --recommended --include-config-data
035	2026-02-11T02:21:59Z
036	Software Update Tool
AppleScriptで生成しました

XProtectはマルウェアから、利用者を守ろうとする仕組みです
たとえば
ルールファイルがあります

サンプルソース（参考）
行番号	ソース
001	/private/var/protected/xprotect/XProtect.bundle/Contents/Resources/XPScripts.yr
002	/Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XPScripts.yr
AppleScriptで生成しました

１MB以下のapplescriptでブラウザを全て参照して
クッキーを取得するような物はマルウェアって判定しています
署名のチェックはGateKeeper マルウェアはXProtectです

/Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XPScripts.yr
を
テキストエディタで開いて確認するとどのような
AppleScriptを利用したマルウェアがあって何をしようとしているのか？
だいたいわかってくると思います

情報取得系とCURLを使った２次処理系に/LaunchDaemonsに登録するようなものが登録されていますが
思っていたほど数は多く無いです２０点に届かない程度の数です
もう少しあるような気もするけど、これだけ見ても、MacOSをターゲットにしたマルウェアは少ないと言って良いでしょう。
でも
『あるので』注意はやっぱり必要です

もう一つがyaraルール

サンプルソース（参考）
行番号	ソース
001	/Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.yara
002	/private/var/protected/xprotect/XProtect.bundle/Contents/Resources/XProtect.yara
AppleScriptで生成しました

こちらは主に『バイナリー』の解析ものが多いですね
こちらは３００点ぐらい登録されています。

Gatekeeperの警告『開発元を識別できない…』を無視して
よくわからないバイナリーやアプリケーションを実行するのは
見知らぬ人に家の鍵を預けて、中身を自由に見てもいいよと言うのと同じになる『場合がある』わけで
その後で
Xprotectが内容を精査するけど
３００種類ぐらいのものなので全てに対応しているわけでもありません
普段からのセキュリティに対しての意識が大切ですね

macOS26.3直後のセキュリティアップデート

サンプルソース（参考）
行番号	ソース
001	zsh $
002	zsh $
003	zsh $ /bin/date;/usr/sbin/softwareupdate --list --recommended --include-config-data;/bin/date;
004	2026年 2月12日木曜日 17時58分02秒 JST
005	Software Update Tool
006
007	Finding available software
008
009	Software Update found the following new or updated software:
010	* Label: MRTConfigData_10_15-1.93
011	Title: MRTConfigData, Version: 1.93, Size: 4595KiB, Recommended: YES,
012	* Label: XProtectPlistConfigData_10_15-5329
013	Title: XProtectPlistConfigData, Version: 5329, Size: 1249KiB, Recommended: YES,
014	* Label: GatekeeperCompatibilityData-1.0
015	Title: Gatekeeper Compatibility Data, Version: 1.0, Size: 7108KiB, Recommended: YES,
016	* Label: XProtectPayloads_10_15-156
017	Title: XProtectPayloads, Version: 156, Size: 23594KiB, Recommended: YES,
018	2026年 2月12日木曜日 17時58分04秒 JST
019	zsh $
020	zsh $
021	zsh $
022	zsh $ /bin/date;/usr/sbin/softwareupdate --install --recommended --include-config-data;/bin/date;
023	2026年 2月12日木曜日 17時58分13秒 JST
024	Software Update Tool
025
026	Finding available software
027
028	Downloading XProtectPayloads
029	Downloading MRTConfigData
030	Downloading XProtectPlistConfigData
031	Downloading Gatekeeper Compatibility Data
032	Downloaded MRTConfigData
033	Downloaded XProtectPlistConfigData
034	Downloaded XProtectPayloads
035	Downloaded Gatekeeper Compatibility Data
036	Installing XProtectPayloads, MRTConfigData, XProtectPlistConfigData, Gatekeeper Compatibility Data
037	Done with XProtectPayloads
038	Done with MRTConfigData
039	Done with XProtectPlistConfigData
040	Done with Gatekeeper Compatibility Data
041	Done.
042	2026年 2月12日木曜日 17時58分35秒 JST
043	zsh $
044	zsh $
045	zsh $
AppleScriptで生成しました

QuickTimer

20260217

XProtectアップデート　5330

XProtectアップデート　5329 ／ macOS26.3 アップデート

20260217

XProtectアップデート 5330

XProtectアップデート 5329 ／ macOS26.3 アップデート

XProtectアップデート　5330

XProtectアップデート　5329 ／ macOS26.3 アップデート