見た目はごく普通の小さなツールをダウンロードしたところだ。アイコンも似ている。サイトも似ている。機能もそれらしく見える。初回起動時、Mac がパスワード入力を求めてくる。文言も大げさではない。「インストールを完了するには権限が必要です」かもしれないし、「機能を有効にするにはパスワードを入力してください」かもしれない。
多くの人は、この瞬間にそのまま入力してしまう。セキュリティを知らないからではない。macOS では、この種の表示が本当に出る場面がよくあるからだ。ツールのインストール、アクセシビリティ権限の有効化、システム設定の変更、コンポーネントの更新では、管理者パスワードが必要になることがある。
PamStealer が Maccy になりすました事件が教えているのは、問題が偽サイトや偽アプリだけではないということだ(関連する報道と技術分析は文末の参考資料を参照)。より厄介なのは、利用者がすでに見慣れている「Mac のパスワード入力画面」そのものが攻撃手順の一部に組み込まれる点である。このミニ講座では、マルウェア名を覚えることを目的にしない。代わりに、次にどんなツールが Mac のパスワードを求めてきても使える、立ち止まり確認するための手順に置き換える。入力する前に 3 分だけ使い、それを信頼してよいか判断する。
このレッスンで扱うこと
持ち帰るものは 3 つある。
- 「Mac のパスワード要求」で立ち止まるための決定木:パスワード入力、権限要求、インストール確認が出たとき、まずキャンセルすべきかを判断する。
- キャンセル後の 3 分確認手順:表示を記録し、公式の入手元に戻り、機能と権限を照合する。
- 確認後の振り分け表:結果を、続ける、取り直す、停止する、相談する、の 4 つに分ける。
家族の Mac にツールを入れることが多い人、会社の Mac で開発ツールを試す人、検索結果から小さなツールをよくダウンロードする人にとって、この手順は特定のマルウェア名を覚えるより役に立つ。
パスワード要求そのものが悪いのではない。問題は、なぜ出たのか分からないことだ
macOS の管理者パスワードは、まず「この操作がシステムレベルの設定に触れることを許可する鍵」と理解すればよい。インストール、削除、権限変更、システムサービスの作成、保護されたデータへのアクセスなどで使われることがある。
だから要点は「パスワード画面が出たら必ず詐欺」という話ではない。本当に問うべきなのは、この表示が、直前に自分が行った操作と明確で合理的、かつ後から追跡できる関係を持っているかどうかである。
例えば、次のように考える。
- 公式サイトからダウンロードしたドライバをインストールしている最中に管理者パスワードを求められたなら、合理的な場合がある。
- ただクリップボードツールを開いただけなのに、何を変更するのか説明せずログインパスワードを求めてきたなら、そこで止まる必要がある。
- 検索広告や見慣れないダウンロードサイトから入手したアプリがパスワードを求めてきたなら、最初にすべきことは入力ではなく、入手元の確認である。
これは AI によるなりすまし電話への対応とよく似ている。要点は声が似ているかどうかではなく、別の経路で確認することだ。以前の記事「知人からの電話でも偽音声かもしれない:AI なりすまし電話は三つの手順で処理する」では、電話を扱った。ここで「電話」を「パスワード要求」に置き換えると、背後にある立ち止まりの考え方は同じである。
3 分で立ち止まる決定木
Mac がパスワードを求めてきたとき、先に「このアプリを知っているか」で判断しない。最初の 30 秒で次の 5 問を見る。どれか一つでも答えが曖昧なら、まずキャンセルし、次の節の 3 分確認へ進む。
新しいツールが Mac のパスワードを求めたら、まずキャンセルする。 この表示は、自分が直前に行った操作によって出たものか?
- インストール、更新、権限の有効化、設定変更を押していないのに突然パスワード要求が出たなら、まずキャンセルする。
- 直前にインストールや機能の有効化を確かに押したなら、次の問いへ進む。
文言の明確性を確認。 表示文言は、何を変更するのかを明確に説明しているか?
- 「続けるにはパスワードが必要です」「システムパスワードを入力してください」だけで用途が書かれていないなら、まずキャンセルする。
- 補助ツールのインストール、システム設定の変更、アクセシビリティ権限の有効化などが明確に書かれているなら、次の問いへ進む。
権限の妥当性を確認。 その権限は、アプリの機能と直接関係しているか?
- クリップボード、スクリーンショット、入力メソッド、ウィンドウ管理ツールは、アクセシビリティや画面収録の権限を必要とする場合がある。
- 圧縮ツール、ノートアプリ、一般的なメニューバーアプリが、起動直後に管理者パスワードを求めるなら、特に注意する。
入手元を追跡。 アプリの入手元は公式経路までたどれるか?
- 検索結果の先頭に出た広告、見慣れないダウンロードサイト、短縮 URL、フォーラムの添付ファイルから入手したなら、停止する。公式 GitHub、公式サイト、App Store から取り直す。
- 入手元をたどれるなら、開発者名、ファイル名、バージョンが公式ページと一致するか確認する。
代替手順を先行。 パスワードを入力せずに先へ進めるか?
- スキップ、後で設定、基本機能だけ使う、が可能なら、先にスキップする。
- すべての操作がパスワード入力前で止まり、合理的な説明もないなら、パスワードを渡さない。
この決定木の目的は、あなたをマルウェア解析者にすることではない。まず決めるのは、キャンセルするかどうかである。キャンセルは終わりではなく、記録し、入手元へ戻り、権限を照合するための 3 分を作る行動である。
キャンセルした後:三つの手順で確認する
この節は決定木の直後に続き、「キャンセルした後の 3 分で何をするか」を扱う。目的はアプリをその場で善悪判定することではない。次の表で振り分けるための材料を集めることである。
1 分目:先にキャンセルする。急いで入力しない
パスワード画面を見たら、まず「キャンセル」を押す。それでアプリが閉じたり機能が使えなくなったりしても、間違いではない。安全の観点では、キャンセルは最も低コストな dry-run である。dry-run は「本当にデータを変更したり公開したりせず、先に試すこと」と理解すればよい。
キャンセルしたら、3 つを記録する。
- アプリ名とアイコン。
- 直前に押したボタン。
- パスワード画面に出ていた全文。
可能ならスクリーンショットを保存する。これは後で通報するためだけではない。数分後に「なんとなく普通だった気がする」と記憶がぼやけるのを防ぐためである。
2 分目:入手元へ戻る。ファイル本体だけを見ない
次に問う。このアプリはどこから来たのか。
比較的安全な順番は、通常こうなる。
- App Store。
- 公式サイト。
- 公式 GitHub release。
- 開発者ドキュメントからの直接リンク。
リスクが高い入手元には、次のようなものがある。
- 検索結果上部の広告リンク。
- ダウンロードサイト、クラックサイト、ミラーサイト。
- SNS 投稿内の短縮 URL。
- 友人から転送されたが、元の入手元を説明できないインストーラ。
公式の入手元が見つからないなら、「もうダウンロードしたから」を理由に続けない。手元のファイルを削除し、公式経路から取り直すほうが、後から掃除するよりたいてい早い。
ここでは、別の記事で扱った権限確認の考え方も使える。AI や自動化ツールに作業を任せるときは、どの手順が実際に手を動かすのかを先に見つける、という考え方だ。詳しくは「AI にショートカットを書かせる前に、どの手順が本当に実行されるかを見つける」を参照してほしい。Mac アプリでは、「本当に手を動かす」箇所は、管理者パスワードを求める、システム設定を変える、高リスク権限を取る、といった場面であることが多い。
3 分目:「機能—権限」で照合する。善悪を勘で決めない
最後に、アプリの機能と要求している権限を照らし合わせる。
次のように問う。
- このアプリの中心機能は何か。
- 求めているパスワードや権限は、その中心機能を実現するために必要か。
- その権限を与えなくても、基本機能は使えるか。
- 公式ドキュメントは、その権限を明確に説明しているか。
例えば、ウィンドウ管理ツールがアクセシビリティ権限を必要とするのは、方向としては理解できる。画面録画ツールが画面収録権限を必要とするのも分かりやすい。しかし、単純なクリップボードツールが起動直後にログインパスワードを求め、用途をはっきり説明していないなら、すぐにマルウェアだと断定する必要はない。ただし、先に与えないという判断でよい。
表で判断する:続ける、取り直す、停止、相談
上の 3 分確認が終わったら、この表で結果を振り分ける。この表は最初の一手ではない。入手元、表示文言、要求された権限を確認した後に、次の行動を決めるための収束ツールである。
| 見えている状況 | 先にすることと続行条件 | 止まるべきサイン |
|---|---|---|
| アプリをダウンロードして、最初の起動で Mac のパスワードを要求された | キャンセルしてダウンロード元を再確認する。続行は、入手元が公式サイト、公式 GitHub、App Store であり、ファイル名・開発者名・バージョンが公式ページと一致する場合のみ | 入手元が検索広告、ミラーサイト、短縮 URL、または公式ページで同じバージョンが見つからないこと |
| アプリが補助ツールや helper のインストールを要求している | ドキュメントを確認し、helper が担う内容を確認する。続行は、ドキュメントで自動更新、バックグラウンド同期、システム連携向けと明確化され、名称がアプリと一致する場合のみ | helper の名前が見慣れず、説明が曖昧で「機能を完全に有効化する」とだけ書いてあること |
| アプリがアクセシビリティ、画面収録、または自動化権限を要求している | 「システム環境設定」で権限項目を手動で確認する。機能と直接関連している場合のみ続行する(例:ウィンドウ管理はアクセシビリティ、録画ツールは画面収録) | クリップボード、ノート、変換などの機能なのに複数の高リスク権限を要求する |
| パスワード画面の文言が短く用途が説明されていない | キャンセルして提示文をスクリーンショットで保存する。公式ドキュメントで同じ表示や同じ設定手順が見つかれば続行可能 | 「今すぐ入力」や「入力しないと使えない」と急かすが、確認できる文書がないこと |
| 会社や顧客案件の Mac に通知が出た | 入力せず、IT またはプロジェクト owner に確認する。owner がこのツール、バージョン、インストール理由を説明できる場合のみ続行 | 誰が導入を求めたのか、なぜ今日必要なのか、テスト済みかを誰も説明できないこと |
owner は、まず「最後の判断と後始末に責任を持つ人」と理解すればよい。個人利用では owner は自分かもしれない。会社では、通常は IT、セキュリティ窓口、プロジェクト責任者である。
表には「本物っぽく見える」という列を入れていない。アイコン、サイトのレイアウト、アプリ名はまねできるからだ。本当に確認できるのは、入手元、用途、権限、責任者である。
小さなチームではどう定着させるか
会社、制作チーム、家庭で他の人のコンピュータをよく見る立場なら、「みんな気をつけて」だけでは足りない。ごく短い内部手順として書いておくとよい。
推奨手順
- 新しいツールが Mac のパスワードを求めたら、まずキャンセルする。 まずキャンセルして、次の確認へ進む。
- 記録を残す。 利用者はアプリ名、ダウンロード URL、表示画面のスクリーンショットを指定チャンネルに貼る。
- 入手元と権限を照合する。 担当者は入手元が公式経路かを確認し、権限が機能と合っているかを見る。
- 承認者を明確にする。 会社の端末では、IT または指定された owner だけがインストール許可を判断する。
- 不明時は利用を止める。 確認できない場合は、代替ツールを探すか、利用を一時停止する。
この手順の要点は、「パスワード入力」を個人の反射動作から、確認可能な引き継ぎに変えることだ。workflow は、一連の固定された受け渡し手順である。ここでの workflow に複雑なシステムは要らない。全員が知っている停止点が 1 つあればよい。
そのままコピーできるチーム向けリマインダー
どの Mac アプリであっても、ログインパスワードの入力を求められたら、まずキャンセルしてください。アプリ名、ダウンロード URL、表示画面のスクリーンショットを指定チャンネルに貼ってください。入手元が公式サイト、App Store、公式 GitHub までたどれ、権限の用途を説明できる場合を除き、パスワードは入力しないでください。
このリマインダーは「怪しいソフトをダウンロードしないで」より実行しやすい。その瞬間に何をすべきかを利用者に示しているからだ。
よくある誤判定:この 3 つの言葉で警戒が緩む
「Mac だから比較的安全なはず」
macOS の安全設計は、プログラムを何でも自由に動かせる状態よりは確かに強い。しかし、どんなシステムでも、利用者が自分からパスワードを入力することまでは完全に止められない。攻撃手順が見慣れた表示を台本の一部にしているとき、OS だけが最後の判断を代わりに済ませてくれるわけではない。
「ただの小さなツールを入れるだけ」
小さなツールほど通してしまいやすい。大げさに確認するほどではないように見えるからだ。クリップボード、メニューバー、スクリーンショット、変換、入力メソッド、開発補助ツールは、どれもよく使う小さなツールである。そうしたツールがパスワードや高い権限を求めてきたなら、一度見る価値がある。
「サイトが公式っぽく見える」
サイトが似ているかどうかは、弱い手がかりにすぎない。より信頼できるのは、ドメイン、公式ドキュメントからのリンク、開発者アカウント、release ページ、公式の告知が互いに整合しているかどうかである。きれいなダウンロードページだけがあり、たどれる手がかりが他にないなら、先にパスワードを渡さない。
個人利用者の最小の一歩
今日、Mac 全体を整理する必要はない。セキュリティ用語を一度に覚える必要もない。やることは 1 つだけだ。
次の一文をメモに入れるか、家族のグループに貼っておく。
Mac がパスワードを求めてきたら、まずキャンセルする。入手元、用途、権限の 3 つを確認してから、続けるか決める。
もう一歩できるなら、「信頼できるダウンロード元」というブックマークフォルダを作る。よく使うツールの公式サイト、公式 GitHub、App Store ページを入れておく。次に再インストールするときは、検索結果から探し直さず、そのブックマークから入る。
AI 整理カード
次に怪しい Mac のパスワード要求に出会ったら、以下を AI に渡し、リスクを整理してもらうとよい。ただし、最後にパスワードを入力するかどうかは、あなた自身またはチームの owner が判断する。
この Mac アプリのパスワード要求または権限要求が妥当か確認したい。私の代わりに「絶対安全」と結論づけず、リスクの手がかりと次の行動だけを整理してほしい。
アプリ名:
ダウンロード元 URL:
このダウンロードページにはどこからたどり着いたか:
表示文言の全文:
どの操作をした直後に表示されたか:
アプリが主張している主な機能:
求められているパスワードまたは権限:
見つけた公式サイトまたは公式 GitHub:
次の形式で回答してほしい:
1. この要求はアプリの機能と直接関係しているか?
2. 入手元は公式経路までたどれるか?疑わしい点は何か?
3. 今すぐ続けるべきか、キャンセルして取り直すべきか、owner に確認すべきか、それとも利用を一時停止すべきか?
4. IT や同僚に確認する場合、5 文以内の説明文にまとめてほしい。
このカードの目的は、AI に安全保証をさせることではない。「なんとなく変だ」という感覚を、話し合える手がかりに変えることだ。入手元、表示文言、権限、次の行動に分解する。
生活四コマ

- 配布時の URL からダウンロードしたと見えていたアプリが起動直後にパスワード要求を出し、まず処理を止める。
- 要求時の画面、クリックしたボタン、取得先を短く記録し、証拠として保存しておく。
- 公式ページの開発者情報、ファイル名、バージョンを照合し、説明と権限要求の整合性を確認する。
- owner が確認したうえで、継続・再取得・保留のいずれかを決め、チーム内で次の対応に進める。
参考資料
Jamf Threat Labs:PamStealer: macOS Malware Posing as Clipboard Manager App — https://www.jamf.com/blog/pamstealer-macos-infostealer-applescript-rust/(2026-07-02)
Ars Technica:Newly discovered PamStealer isn’t your typical macOS malware — https://arstechnica.com/security/2026/07/new-pamstealer-macos-malware-uses-clever-tradecraft-to-remain-stealthy/(2026-07-03)
The Hacker News:PamStealer Uses Fake Maccy Sites and PAM Checks to Steal Mac Login Passwords — https://thehackernews.com/2026/07/pamstealer-uses-fake-maccy-sites-and.html(2026-07-03)



