Microsoftは2024年10月17日、Appleの macOS に存在する重大な脆弱性「HM Surf」(CVE-2024-44133)を公開した。この脆弱性は、Appleの透明性、同意、および制御(TCC)フレームワークに関連し、ユーザーのプライバシー設定をバイパスして機密データにアクセスできる可能性がある。
この問題は、macOS Sequoia 15(macOS 15)で修正された。脆弱性の悪用により、攻撃者はSafariブラウザのディレクトリのTCC保護を解除し、設定ファイルを変更して、ユーザーの同意なしにブラウズしたページ、デバイスのカメラ、マイク、位置情報などのデータにアクセスできる。
Microsoftの脅威インテリジェンスチームは、macOSのアドウェア「AdLoad」がこの脆弱性を悪用している可能性があると指摘している。AdLoadは追加のペイロードをダウンロードしてインストールする能力を持つ。
この脆弱性は、Mobile Device Management(MDM)で管理されているデバイスにのみ影響する。Appleは2024年9月16日にこの問題を公開し、macOS Sequoia 15で脆弱なコードを削除することで対処した。
ユーザーはシステムを最新の状態に保ち、セキュリティパッチを迅速に適用することが重要である。また、管理者はMDM管理下のデバイスを監視し、セキュリティポリシーを見直すことが推奨される。
from:MacOS Safari ‘HM Surf’ Exploit Exposes Camera, Mic, Browser Data
【編集部解説】
この脆弱性の本質は、Appleが提供する「透明性、同意、および制御(TCC)」というプライバシー保護機能をバイパスできてしまうことにあります。TCCは通常、アプリがユーザーの個人情報にアクセスする際に、ユーザーの明示的な許可を必要とする重要な安全機構です。
しかし、「HM Surf」脆弱性は、Safariブラウザの特別な権限を悪用することで、このTCCの保護を回避できてしまいます。具体的には、Safariの設定ファイルを不正に変更することで、カメラやマイク、位置情報といった機密データへの無断アクセスが可能になってしまうのです。
この脆弱性が特に危険なのは、ユーザーに気付かれずに悪用できる点です。攻撃者は、ユーザーの同意を得ることなく、カメラで写真を撮ったり、マイクの音声を録音したり、位置情報を取得したりすることができてしまいます。
さらに懸念されるのは、この脆弱性がすでに悪用されている可能性があることです。Microsoftの調査によると、macOSのアドウェア「AdLoad」がこの脆弱性を利用している疑いがあるとのことです。
ただし、この問題はAppleによってすでに対処されています。macOS Sequoia 15(macOS 15)で脆弱なコードが削除され、修正が行われました。しかし、まだアップデートしていないユーザーは引き続きリスクにさらされています。
この事例は、私たちに幾つかの重要な教訓を与えてくれます。
まず、どんなに優れた技術企業でも、完璧なセキュリティを提供することは困難だということです。Appleのような大手企業でさえ、重大な脆弱性を抱えることがあるのです。
次に、定期的なソフトウェアアップデートの重要性です。多くのユーザーはアップデートを後回しにしがちですが、このような脆弱性対策のためにも、迅速なアップデートが欠かせません。
さらに、企業のIT管理者にとっては、Mobile Device Management(MDM)の重要性が再認識されました。MDMを適切に運用することで、このような脆弱性のリスクを軽減できる可能性があります。
最後に、この事例は、プライバシーとセキュリティのバランスの難しさを示しています。Safariに特別な権限を与えることで利便性を高めようとしたAppleの意図が、結果的にセキュリティホールを生み出してしまったのです。
テクノロジーの進化とともに、このようなセキュリティの課題は今後も続くでしょう。私たちユーザーも、常に最新の情報に注意を払い、自身のデジタルセキュリティを守る意識を持ち続けることが大切です。
