Appleは長年にわたってセキュリティとプライバシーを重視してきたことで知られていますが、macOS Sequoia 15.0で発見された脆弱性は、同社の堅牢なセキュリティ対策を根本から揺るがすものでした。

脆弱性の概要

2025年のNullcon Berlinにおいて、FFRI Securityのセキュリティ研究者である中川晃氏が、CVE-2025-24204として追跡されているこの深刻な脆弱性を公表しました。

この問題は、Appleのgcoreデバッグユーティリティに付与されたシステムレベルの権限が、重要なセキュリティ境界を破綻させることを可能にしていました。

この脆弱性の影響範囲：

• System Integrity Protection（SIP）が有効でも、あらゆるプロセスのメモリを読み取り可能です
• キーチェーンの暗号化キーが露出します
• Transparency, Consent, and Control（TCC）制限の回避が可能です
• Apple Silicon Mac上で動作するiOSアプリの復号化（暗号化されたデータを元の読める形に戻すこと）ができます

偶然の発見から明らかになった深刻な問題

中川氏によると、この脆弱性の発見は偶然だったそうです。MicrosoftがProcDump-for-Macをリリースした際、SIPが保護されたプロセスをブロックするため、通常は動作しないはずでした。

しかし、テスト中にProcDumpがほぼすべてのプロセス（機密性の高いシステムプロセスを含む）からメモリをダンプできることが判明しました。その秘密は、com.apple.system-task-ports.read権限を付与されていたgcoreにありました。

攻撃者が可能だった行為

1. キーチェーンの完全な復号化

攻撃者はsecuritydプロセスのメモリをダンプすることで、ログインキーチェーンの暗号化に使用されるマスターキーを取得できました。このキーがあれば、ユーザーのパスワードなしでキーチェーン全体を復号化することが可能でした。

2. TCC制限の回避

Appleのアクセス制御システムであるTCCを回避し、写真や連絡先などの保護されたファイルにアクセスできました。サンドボックス化されたアプリがファイルをメモリに読み込む際、攻撃者はそのメモリをダンプして保護された文書を再構築できました。

3. iOSアプリの復号化

通常であれば脱獄したiPhoneでなければアクセスできないiOSアプリの復号化されたバイナリを、Apple Silicon Mac上で取得することが可能でした。

Appleの対応と現在の状況

Appleは2025年初頭にリリースされたmacOS 15.3で、問題となっていた権限を削除しました。同社は通常、セキュリティ修正について大々的な発表を行わず、詳細は変更履歴に簡潔に記載されるのみです。

この脆弱性は野生での悪用は確認されておらず、幸いにも物理的なアクセスは必要なく、Mac上でローカルにコードを実行する能力のみが必要でした。

ユーザーが取るべき対策

1. 即座のアップデート

macOS Sequoiaを使用している場合は、直ちにバージョン15.3以降にアップデートしてください。これより古いバージョンは依然として脆弱性にさらされており、アップグレード以外に回避策はありません。

2. 自動アップデートの有効化

リスクのあるビルドに留まることを避けるため、自動アップデートを有効にすることをお勧めします。

3. 分散化されたセキュリティ戦略

Appleのキーチェーン以外のパスワードマネージャーの使用を検討してください。すべての機密情報を一箇所に集中させることのリスクを軽減できます。

4. セキュリティ情報の定期的な確認

Appleのサポートサイトで公開されるセキュリティアドバイザリを定期的に確認してください。詳細は限定的ですが、何が修正されたかの公式記録となります。

(Via Apple Insider.)