Macのネットワーク共有に脆弱性の報告。ZIPファイル組み合わせマルウェア感染の危険

Gatekeeperが見ていないところから侵入

Munenori Taniguchi
Munenori Taniguchi, @mu_taniguchi
2019年05月27日, 午後 05:30 in Security
0シェア
FacebookTwitter
AP Photo/Bebeto Matthews
MacOSには信頼できるソフトウェアだけを実行可能とするGatekeeperと称する機能が搭載されています。これはMac App Storeから入手したアプリだけでなくインターネットからダウンロードしたり、直接入手したアプリを使用する場合にも、開発元の署名などから改ざんされていないことを確かめるようになっています。

しかし、セキュリティ研究者のFilippo Cavallarin氏は、攻撃者が許可無くマルウェアをインストールできる脆弱性がmacOSにあるとして、その脆弱性の詳細をウェブサイトに記しました。その説明によると、Gatekeeperはネットワーク共有のディレクトリーを「安全である」と見なし、チェックを必要としない場所だと認識しているとのこと。したがって攻撃者が何らかの方法でマルウェアを含む場所をネットワーク共有としてマウントさせてしまえば、それを相手のMacに送り込めるとしています。

macOSの標準的な機能automount(autofs)では、ユーザーは"/net/"で始まるパスにアクセスすると自動的にネットワーク共有をマウントします。これを利用してZIPファイルにシンボリックリンクとしてネットワーク共有へのエントリーを含めると、OSはZIPファイルを解凍する際に自動的にその場所を自動マウントします。そして、macOSはZIPファイルの解凍処理時にシンボリックリンクがどこへアクセスするものかをチェックしません。このため、マルウェアを含む場所へのシンボリックリンクをZIPに含めて相手に送り込んでしまえば、マルウェアをGatekeeperのチェックなしに勝手にインストールできる状態が作れるとのこと。

Cavallarin氏は、2019年2月22日にアップルに対してこの問題を通知しました。アップルはその後、問題はmacOS 10.14.5で解決されると返答していました。しかし、Cavallarin氏は実際にリリースされたmacOS 10.14.5では問題が解決されていないことを確認、再びアップルへと連絡を取ったものの、その後アップルからの返答はないとのこと。

やむなく、Cavallarin氏はアップルへの連絡後90日の猶予が過ぎた、5月24日にこの問題を公表しました。普通に考えれば、ZIPファイルを通じて外部へネットワーク共有に不用意にアクセスするようなシチュエーションがあまりないかもしれませんが、リモート共有や勝手に送られてきたファイルの危険性に疎いユーザーは、やすやすとマルウェアをつかまされる可能性があります。

Cavallarin氏が主張するように問題が解決されていないのであれば、アップルは脆弱性を悪用する輩が現れる前に、速やかに問題に対応すべきと言えるでしょう。

 
 

TechCrunch 注目記事新型コロナのソーシャルディスタンスを支援するビデオチャットアプリ8選

新型コロナウイルス 関連アップデート[TechCrunch]
関連キーワード: apple, apps, exploit, gatekeeper, gear, internet, mac, macos, network sharing, personal computing, personalcomputing, Security, video, vulnerability
0シェア
FacebookTwitter