企業環境でのMacの人気が高まり続ける中、ハッカーはこの成長するユーザーベースを悪用するために、より複雑でクロスプラットフォームの戦術を開発しています。

最新の標的の1つは、Transparency, Consent, and Control (TCC) フレームワークです。これは、macOSのセキュリティアーキテクチャの重要な構成要素です。Macの強力なセキュリティの評判は貴重な資産ですが、より多くの企業がこのプラットフォームを採用するにつれて、悪意のある攻撃者の注目を集めるため、懸念すべき責任にもなります。

TCCフレームワーク: 諸刃の剣

TCCフレームワークは、アプリのアクセス許可を制御し、機密情報やシステム設定を保護することで、ユーザーのプライバシーを守るように設計されています。しかし、Interpres Securityの最近の調査結果によると、TCC内の脆弱性が操作されて、Macが攻撃に対して脆弱になる可能性があることが明らかになりました。

過去のエクスプロイトと欠点

TCCには、以下のような過去のエクスプロイトと欠点があります:

• データベースへの直接的な変更
• システム整合性保護の弱点を悪用
• TCC.dbファイルにアクセスして変更することで、秘密のアクセス許可を取得する (以前のバージョンで)

Appleは、macOS Sierraでこのような攻撃に対抗するためにSystem Integrity Protection (SIP) を導入しましたが、SIPでさえもバイパスされています。2023年には、Microsoftが SIP を完全に回避できるmacOSの脆弱性を発見しました。

企業ユーザーを標的にする

ハッカーは、ソーシャルエンジニアリングのような戦術を使って、開発者やエンジニアなどの企業ユーザーを標的にすることが増えています。Appleはセキュリティアップデートを通じてこれらの問題の一部に対処していますが、Interpres Securityは、北朝鮮のLazarus Groupのような攻撃者が引き続き企業環境のMacを標的にしていると警告しています。

Finder: もう1つの潜在的な攻撃経路

TCCフレームワークに加えて、Finderも潜在的な攻撃経路です。デフォルトでは、FinderはSecurity & Privacyのアクセス許可に表示されずに、フルディスクアクセスを持ち、ユーザーから隠されたままになっています。

FinderにTerminalアクセスが許可されると、手動で取り消されない限り、それは永続的になります。つまり、攻撃者はFinderを悪用してTerminalを制御し、ディスクアクセスを確保する可能性があるのです。

TCC悪用から身を守るには

macOSシステムをTCC悪用から保護するために、いくつかの戦略を実施できます。

1. 常にSystem Integrity Protection(SIP)をオンにし、脆弱性に対処するためにオペレーティングシステムを更新する。
2. 企業のIT部門が最小限の特権の原則を実装し、ユーザーとアプリケーションのアクセス権を制限して、各ユーザーが仕事に必要なアクセス許可のみを持つようにする。
3. フィッシング詐欺や、ソーシャルエンジニアリング攻撃でよく使われるその他の一般的な戦術についてユーザーを教育するため、定期的なセキュリティ意識向上トレーニングを実施する。

システムは、通常は人的エラーである最も弱いリンクと同じくらいしか安全ではないことを覚えておくことが重要です。

(Via Apple Insider.)