macOSにおけるEDRフリーズ
この記事では、macOS上でEDR(エンドポイント検出・対応)ソリューションがフリーズする現象について詳しく解説する。特定の条件下でEDRプロセスが応答しなくなる原因や、その影響、回避策について技術的な観点から分析している。
背景メモ
- **EDR (Endpoint Detection and Response)** は、マルウェアや不正活動をリアルタイムで監視・検知するセキュリティソフトウェア。macOS向けにはCrowdStrike、SentinelOne、Microsoft Defender for Endpointなどが広く使われている。
- **「EDR Freeze」** とは、攻撃者がEDRプロセスの実行を一時的に停止または無効化し、検知を回避する手法。macOSでは以前、サードパーティ製EDRはAppleの「エンドポイントセキュリティフレームワーク」(ESF)に依存しており、その設計上の制約を突く形で可能になった。
- 本記事の文脈では、macOS Sequoia (macOS 15) でAppleがEDR製品に **システム管理権限(System Management; いわゆる“Superman”権限)** を新たに付与したことが重要。これによりEDRはより深い監視が可能になったが、同時に、フリーズ攻撃が成功すると「検知できない深さ」でシステムが丸裸になるというジレンマをはらむ。
- 著者のNorth Pole SecurityはmacOSセキュリティに特化した研究チーム。EDR製品の挙動やAppleのセキュリティフレームワークの変遷を継続的に追っている。