MicrosoftがmacOSの弱点を発見、どこが危ない？

Microsoftの研究者がmacOSの脆弱性を発見した。macOSが備えるセキュリティ層の機能が十分でないため、サイバー攻撃者の標的になっているという。

[David Jones，Cybersecurity Dive]

　Microsoftの研究者は「macOS」の脆弱（ぜいじゃく）性を発見した（注1）。Appleが提供する「Gatekeeper」のセキュリティ機能を回避できるという。Gatekeeperは信頼できるアプリケーションだけを実行するmacOSの保護機能だ。

なぜmacOSの「Gatekeeper」では力不足なのか

　インターネットからダウンロードした署名のない実行ファイルを動かそうとすると、Gatekeeperが作動し、マルウェアが仕込まれていないかどうかをチェックする。だが、うまくいかない場合がある。

　この脆弱性は「Achilles」と呼ばれている。CVE（Common Vulnerability and Exposure）番号は「CVE-2022-42821」だ。攻撃者がマルウェアを媒介するために悪用できるため、将来「macOS」に対する悪意のある攻撃能力を高めてしまうと研究者は述べる。

　2022年10月にリリースされた「macOS Ventura」にはユーザーを保護するために「Lockdown Mode」が追加された。このモードはゼロクリックによるリモート実行を防止できるものの、研究者によればAchillesに対しては機能しないという。

　Gatekeeperは近年攻撃者の標的となることが多い。研究者は概念実証の一環として、セキュリティ機能をバイパスするさまざまなメカニズムを特定した。それによれば攻撃者は以下を実行できる。

・インターネットから入手した実行ファイルなどに「com.apple.quarantine拡張属性」を割り当てる検疫機能を悪用する
・隔離されたファイルに対してポリシーチェックをかけるコンポーネントに存在する脆弱性を見つける

　Microsoftの研究者はGatekeeperをバイパスする脆弱性を幾つか指摘した。これらの脆弱性には既にCVE番号が割り当てられている。

　例えば「CVE-2021-1810」はquarantine拡張属性の割り当てに関与していた。With Secureの研究者が概説しているように（注2）、886文字よりも長いパスはcom.apple.quarantine拡張属性を継承することに失敗する。つまり長いパスを使ってGatekeeperの検疫を突破できる。

　Microsoftは2022年7月に脆弱性開示の調整を通じてこの問題に関する研究をAppleと共有し、Appleは全バージョンのmacOSに修正プログラムをリリースしたという。Appleはコメントを求める問い合わせにすぐには応じていない。

　Zimperiumの研究者によれば、GatekeeperはmacOSのアプケーションが正当かどうかを確認するための強力なプロセスだ。だが、Gatekeeperが提供するセキュリティ層だけでは十分でないという。

　Zimperiumのリチャード・メリック氏（脅威レポートディレクター）は次のように述べる。

　「攻撃者は『iOS』とmacOSのどちらをターゲットにしているかにかかわらず、セキュリティツールをバイパスする新しい方法を探している。高度な脅威からの保護とセキュリティチームへのリスクテレメトリーを提供しないツールは、重要なデータとシステムを大きなリスクにさらす」

出典：MacOS vulnerability allows threat actors to bypass Apple Gatekeeper（Cybersecurity Dive）

注1：Gatekeeper’s Achilles heel: Unearthing a macOS vulnerability

注2：The discovery of Gatekeeper bypass CVE-2021-1810