マイクロソフトが警告「Mac版Safariに脆弱性」　今すぐアップデートを

今回の脅威はすでに現実のものだ。

マイクロソフトは、この脆弱性がすでに悪用されており、攻撃者が「ユーザーの保護されたデータに不正アクセスする可能性が高い」と警告している。そのデータには「閲覧したウェブページ、デバイスのカメラ、マイク、位置情報」が含まれ、ユーザーが気づかないうちにこれらが狙われる。

この新しいハッキング手法「HM Surf（HMサーフ）」は、デバイスの集中管理を行うモバイルデバイス管理（MDM）を利用しているmacOSユーザーに影響を及ぼす。このため、個人ユーザーよりも企業ユーザーにとってのリスクが大きい。

この手法は、アップル純正のブラウザ、Safari内でデバイスのTCC（Transparency, Consent, and Control、透明性、同意、制御）保護を強制的に回避する。この結果、Safariは本来アクセスできないはずのデータにアクセスし、そのデータを攻撃者に渡すことが可能になる。マイクロソフトは「私たちの調査結果をアップルと共有した」と述べ、アップルは2024年9月16日にリリースしたmacOS Sequoiaのセキュリティアップデートの一部として、「CVE-2024-44133」として修正を公開した。すべてのmacOSユーザーは、自身のマシンにこのアップデートが適用されていることを確認すべきだ。

さらに、マイクロソフトは「現時点ではSafariのみがTCCによる新たな保護を利用しており、現在、他の主要なブラウザベンダーと協力してローカル設定ファイルの強化によるメリットを調査している」と述べている。セキュリティ研究者たちは、関連するSafariの設定ファイルがユーザーのホームディレクトリに保存されており、それらを変更することでTCC保護を解除できることを発見した。Safariもそ仕組みを使ってこれらのサービスへのアクセス許可を要求し、自身の許可リストを維持しているが、この方法でTCCをバイパスすると、すべてが攻撃に対して無防備になる。

「macOSユーザーには、できるだけ早くこれらのセキュリティアップデートを適用することを推奨する」とマイクロソフトは述べている。TCCは、マシン上で動作するアプリからプライベートデータを保護するために設計されており、「位置情報サービス、カメラ、マイク、ダウンロードファイルなどのサービスが、ユーザーの同意なしに利用されないようにする」ものだ。アプリがアクセスを必要とする場合、特定の許可を求めるポップアップが表示されるはずだ。

マイクロソフトの説明によれば、問題は「アップルは一部のエンタイトルメント（権利）を自社のアプリケーション用に予約している」という点である。macOSのデフォルトブラウザであるSafariは、非常に強力なTCCエンタイトルメントを有しており、それらにはカメラ、マイク、スクリーン、そして多数の個人データへのアクセスが含まれる。

マイクロソフトによると、Safariがこれらの機密デバイス機能にアクセスする際には「通常のTCCのアクセスチェックを完全にバイパスする」としており、「実際のシナリオでは、攻撃者が隠密な行動を取る可能性がある。例えば、『カメラの全ストリームを保存する、マイクを録音して別のサーバーにストリーミングまたはアップロードする、デバイスの位置情報にアクセスする、目立たないように非常に小さなウィンドウでSafariを起動する』などの行動が考えられる」と警告している。

アップルのデバイスで他のブラウザを利用しているユーザーには、こうしたプライベート特権が付与されていないため、リスクが低いとされている。「Google Chrome、Mozilla Firefox、Microsoft Edgeなどのサードパーティ製ブラウザは、アップルのアプリケーションと同じプライベートエンタイトルメントがないため、TCCのチェックをバイパスできない」他のブラウザが同じ機能にアクセスしようとすると、許可を求めるポップアップが表示される。

アップルは現在、これらの設定ファイルの改変を防ぐためにSafariを強化している。さらにマイクロソフトは「ローカル設定ファイルの強化によるメリットを調査するため、他の主要なブラウザベンダーと協力している」と述べている。「ChromiumとFirefoxはまだ新しいAPIを採用していないが、Chromiumは異なる方法でこの攻撃を解決するos\_cryptの使用に向かっている」としている。