Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 608

launchd による持続化

launchd による持続化 とは何ですか?

launchd による持続化LaunchDaemon または LaunchAgent の plist を設置し、launchd が起動時・ログイン時・トリガー時に攻撃者コードを実行する macOS の持続化手法。

launchd 持続化(MITRE ATT&CK T1543.004)は、macOS の init システムである launchd を悪用します。攻撃者は /Library/LaunchDaemons(起動時・root コンテキスト)、/Library/LaunchAgents(各ユーザーのログイン時)、~/Library/LaunchAgents(現在のユーザー)に plist を設置します。plist には Label、ProgramArguments、および RunAtLoad、KeepAlive、StartInterval、WatchPaths、StartCalendarInterval などのトリガーを記述します。launchd はプロセスを保持し、終了時には再起動します。OSX/Shlayer や XCSSET など macOS マルウェアで頻繁に用いられます。対策は EDR や fs_usage による LaunchDaemon/Agent ディレクトリ監視、plist のベースライン化、未署名実行ファイルへのアラート、TCC・SIP・MDM 構成プロファイルによる書き込み制限です。

  1. 01

    /Library/LaunchDaemons に com.apple.softwareupdated.plist を配置し、起動時に /tmp/updater を実行する。

  2. 02

    ユーザー単位の LaunchAgent が RunAtLoad で各ログイン時に Python インプラントを再実行する。

よくある質問

launchd による持続化 とは何ですか?

LaunchDaemon または LaunchAgent の plist を設置し、launchd が起動時・ログイン時・トリガー時に攻撃者コードを実行する macOS の持続化手法。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

launchd による持続化 とはどういう意味ですか?

LaunchDaemon または LaunchAgent の plist を設置し、launchd が起動時・ログイン時・トリガー時に攻撃者コードを実行する macOS の持続化手法。

launchd による持続化 はどのように機能しますか?

launchd 持続化(MITRE ATT&CK T1543.004)は、macOS の init システムである launchd を悪用します。攻撃者は /Library/LaunchDaemons(起動時・root コンテキスト)、/Library/LaunchAgents(各ユーザーのログイン時)、~/Library/LaunchAgents(現在のユーザー)に plist を設置します。plist には Label、ProgramArguments、および RunAtLoad、KeepAlive、StartInterval、WatchPaths、StartCalendarInterval などのトリガーを記述します。launchd はプロセスを保持し、終了時には再起動します。OSX/Shlayer や XCSSET など macOS マルウェアで頻繁に用いられます。対策は EDR や fs_usage による LaunchDaemon/Agent ディレクトリ監視、plist のベースライン化、未署名実行ファイルへのアラート、TCC・SIP・MDM 構成プロファイルによる書き込み制限です。

launchd による持続化 からどのように防御しますか?

launchd による持続化 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

launchd による持続化 の別名は何ですか?

一般的な別名: LaunchDaemon 持続化, LaunchAgent 持続化。

関連用語