攻撃者は、最近修正されたmacOSの脆弱性を利用して、Transparency, Consent, and Control(TCC)セキュリティチェックを回避し、Apple Intelligenceのキャッシュデータを含む機密ユーザー情報を盗み出すことが可能です。
TCCはセキュリティ技術およびプライバシーフレームワークであり、macOSがAppleデバイス全体でアプリケーションによるデータへのアクセスや利用方法を制御することで、アプリがプライベートなユーザーデータへアクセスするのを防ぎます。
Appleは、CVE-2025-31199(MicrosoftのJonathan Bar Or、Alexia Wilson、Christine Fossacecaによって報告)として追跡されているこのセキュリティ脆弱性を、macOS Sequoia 15.4向けに3月にリリースされたパッチで「データの編集強化」により修正しました。
AppleはTCCへのアクセスをフルディスクアクセス権を持つアプリのみに制限し、不正なコード実行を自動的にブロックしていますが、Microsoftのセキュリティ研究者は、攻撃者がSpotlightプラグインの特権アクセスを利用して機密ファイルにアクセスし、その内容を盗み出せることを発見しました。
本日公開されたレポートで、彼らはこの脆弱性(Sploitlightと命名され、Appleによって「ロギングの問題」と説明されている)が、Apple Intelligence関連情報や他のiCloudアカウントにリンクされたデバイスのリモート情報を含む貴重なデータの収集に悪用される可能性があることを示しました。
これには、写真やビデオのメタデータ、正確な位置情報、顔や人物認識データ、ユーザーのアクティビティやイベントのコンテキスト、写真アルバムや共有ライブラリ、検索履歴やユーザー設定、削除された写真やビデオなどが含まれますが、これらに限定されません。
2020年以降、AppleはTime Machineマウントの悪用(CVE-2020-9771)、環境変数の汚染(CVE-2020-9934)、バンドル結論の問題(CVE-2021-30713)など、他のTCCバイパスも修正しています。過去には、Microsoftのセキュリティ研究者が、powerdir(CVE-2021-30970)やHM-Surfなど、ユーザーのプライベートデータへのアクセスに悪用可能な他のTCCバイパスも発見しています。
「HM-Surfやpowerdirといった過去のTCCバイパスと類似していますが、Spotlightプラグインを利用することから『Sploitlight』と呼ぶこの脆弱性の影響は、Apple Intelligenceによってキャッシュされた正確な位置情報、写真やビデオのメタデータ、顔や人物認識データ、検索履歴やユーザー設定など、機密情報を抽出・漏洩できるため、より深刻です」とMicrosoftは月曜日に述べました。
「これらのリスクは、iCloudアカウント間のリモートリンク機能によってさらに複雑かつ深刻化します。つまり、攻撃者がユーザーのmacOSデバイスにアクセスできれば、同じiCloudアカウントにリンクされた他のデバイスのリモート情報も特定するためにこの脆弱性を悪用できる可能性があります。」
近年、Microsoftのセキュリティ研究者は、SIPバイパス『Shrootless』(CVE-2021-30892)など、攻撃者が侵害されたMacにルートキットをインストールできる2021年報告の重大なmacOS脆弱性も発見しています。
最近では、SIPバイパス『Migraine』(CVE-2023-32369)や、Gatekeeperの実行制限を回避する不正なアプリを使ってマルウェアをインストールできるセキュリティ脆弱性『Achilles』(CVE-2022-42821)も発見しています。
昨年は、サードパーティ製カーネル拡張を読み込むことで脅威アクターが悪意あるカーネルドライバーを展開できる、別のSIPバイパス脆弱性(CVE-2024-44243)も報告されています。
CISOが実際に使うボードレポートデッキ
CISOは、クラウドセキュリティがビジネス価値をどのように高めるかを明確かつ戦略的に示すことが、経営陣の理解を得る第一歩であることを知っています。
この無料で編集可能なボードレポートデッキは、セキュリティリーダーがリスク、影響、優先事項を明確なビジネス用語で提示するのに役立ちます。セキュリティの最新情報を有意義な議論と迅速な意思決定につなげましょう。