現代のデジタルライフにおいて、パソコンのセキュリティは私たちの生活を守る重要な砦となっています。

特にmacOSユーザーにとって、最近発見された深刻な脆弱性は早急な対応が必要な事態となっています。

この記事では、この重大な脆弱性の詳細と、ユーザーが取るべき対策について詳しく解説していきます。

発見された脆弱性の概要

macOSには「System Integrity Protection（SIP）」と呼ばれる重要なセキュリティ機能が搭載されています。このSIPは、マルウェアなどの脅威からオペレーティングシステムを保護する役割を担っています。具体的には、root権限を持つユーザーであっても、保護された領域内のフォルダやファイルを変更できないよう制限をかけているのです。

通常、SIPを無効化するためには、システムを再起動してmacOSリカバリーからブートする必要があり、物理的なアクセスが必須でした。しかし、Microsoftの脅威インテリジェンスチームは、この保護をバイパスし、サードパーティのカーネル拡張をロードすることを可能にする脆弱性を発見しました。この脆弱性は「CVE-2024-44243」として追跡され、「Migraine」としても知られています。

脆弱性がもたらす深刻な影響

この脆弱性が及ぼす影響は極めて深刻です。攻撃者はTCCポリシーを管理するデータベースを置き換えることで、ユーザーの同意なしに位置情報、閲覧履歴、カメラやマイクへのアクセスなど、機密性の高いデータにアクセスすることが可能となります。

さらに危険なのは、この脆弱性を利用することで以下のような攻撃が可能になることです。マルウェアやルートキットのインストール、セキュリティツールの無効化や改変による検知回避、そして通常の方法では削除できないSIP保護されたファイルの作成まで可能となってしまいます。

脆弱性の技術的な詳細

Microsoftの研究チームは、この脆弱性がStorage Kitデーモンという、ディスク状態操作を管理する重要なmacOSプロセスに存在することを特定しました。

攻撃者はroot権限を取得した後、カスタムファイルシステムバンドルを注入・アクティブ化することでSIP保護をバイパスし、不正な操作を実行することが可能となります。

特に注目すべきは、Tuxera、Paragon、EaseUS、iBoysoft等の多くのサードパーティファイルシステムも同様の脆弱性を抱えているという点です。攻撃者はこれらのファイルシステムにカスタムコードを埋め込み、Disk Utilityや’diskutil’コマンドを利用することで、Appleのカーネル拡張除外リストを迂回することができます。

対策と推奨事項

この深刻な脆弱性に対して、Appleは既に対策を講じています。2023年12月にリリースされたパッチ、およびmacOS Sequoia 15.2以降のアップデートには、この脆弱性に対する修正が含まれています。

ユーザーとして取るべき対策は以下の通りです。MacBookやMac mini M4、iMacなど、使用しているmacデバイスの種類に関わらず、最新のアップデートを速やかにインストールすることが重要です。また、追加の保護層として、信頼できるMac向けアンチウイルスソフトウェアの導入も検討に値します。

(Via Tom’s Guide.)