「macOS」にパスワード盗難の恐れのあるゼロデイ脆弱性--研究者が指摘

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2019-02-07 10:54

 ドイツのセキュリティ研究者Linus Henze氏が週末、Appleの「macOS」にゼロデイ脆弱性が存在することを示す動画を公開した。

 Henze氏はドイツのテクノロジサイトHeiseとのインタビューのなかで、macOSシステム上でこの脆弱性を悪用したマルウェアを実行すれば、キーチェーンに格納されているパスワードにアクセスできるようになると述べた。キーチェーンは、macOSディストリビューションのすべてに搭載されているパスワード管理システムだ。

 このマルウェアはユーザーのキーチェーンファイルからパスワードを取得する際に、管理者権限を必要としないうえ、他のmacOSユーザーのパスワードが格納されている別のキーチェーンファイルの内容も取得できるという。

 Henze氏はYouTube動画を公開したのみで、PoC(概念実証)コードは公開していない。しかし2月6日付けのForbesの記事によると、同エクスプロイトが実際に存在し、Heiseのインタビュー記事で語られている通り動作することを、Apple製品に詳しい高名なセキュリティ研究者が確認したという。

 Henze氏は、Appleにこの脆弱性を報告することなく動画を公開した。Forbesによると、その主な理由は、Appleのバグ報奨金プログラムが招待制で、「iOS」向けであるためだという。

 Henze氏は米ZDNetに対して、自らの発見した脆弱性が報道機関の注目を集め始めた後、5日になってAppleのセキュリティチームから連絡を受けたと述べた。

 同氏によると、Appleのセキュリティチームは詳細について尋ねてきたものの、macOSを対象とするバグ報奨金プログラムをAppleが立ち上げ、macOSに潜むバグを発見したセキュリティ研究者らに見返りを与えるようにしない限り、詳細は教えないと回答したという。

 同氏は米ZDNetに対し、「私のモチベーションは、Appleに(macOSを対象とした)バグ報奨金プログラムを導入してもらうというものだ。そうすることが、Appleと研究者の双方にとってベストだと私は考えている」と述べた。

 「私はApple製品を心から愛しており、よりセキュアになってほしいと考えている。私が考えている最善の方法は、Appleが(他の大手企業が提供しているような)バグ報奨金プログラムを立ち上げるというものだ」(Henze氏)

 米ZDNetはAppleにコメントを求めたが、回答は得られていない。

 同氏はこのゼロデイ脆弱性を発見し、「KeySteal」と命名した。2017年9月にも、macOSでパスワードが盗まれる恐れのあるキーチェン関連のゼロデイ脆弱性が見つかったと報じられていた。この脆弱性は、Apple製品に関するセキュリティエキスパートPatrick Wardle氏が発見した。Wardle氏は、Forbesの報道でHenze氏が発見したゼロデイ脆弱性について確認した人物でもある。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  2. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  3. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    VPNの欠点を理解し、ハイブリッドインフラを支えるゼロトラストの有効性を確認する

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]