MacOS High Sierra のパスワード盗難の脆弱性
あるセキュリティ研究者が、Apple から公開されたばかりの macOS High Sierra に存在する脆弱性を発見し、内蔵パスワード管理システムであるキーチェーンのゼロデイエクスプロイトを紹介するビデオを公開しました。macOS は、キーチェーンシステムを使用して、暗号化されたパスワード、暗号鍵、および SSL 証明書を保存します。通常、アプリケーションがプログラムを使ってキーチェーンから平文パスワードを取得することはできないはずですが、Patrick Wardle 氏が公開したエクスプロイトのビデオでは、署名のないアプリケーション(作成者の身元を証明するための暗号署名が付いていないアプリケーション)でキーチェーンの平文パスワードをダンプし、リモートサーバに取り出す様子が紹介されています。
Apple によれば、macOS では、インターネットからダウンロードされた署名のないアプリケーションをユーザが直接実行することはできません。署名されていないアプリケーションを起動するには、Finder を使ってアプリを検索し、右クリックして、手動で「開く」を選択する必要があります。これらの手順が追加されていることで、信頼できないアプリケーションが知らない間にシステムで実行されないようにしています。
Wardle 氏のエクスプロイトビデオを見ると、ユーザが不正アプリケーションを手動で実行する必要があることがわかります。しかしながら、フィッシングなどのソーシャルエンジニアリング攻撃が流行し、成功していることを考えれば、必要であればユーザに追加アクションを実行するよう仕向けることは、攻撃者にとって容易なことのようです。Wardle 氏は Forbes 誌に対し、「このエクスプロイトが美しいやり方だとは思わないが、確実な方法であり、ルートも必要なく、100% 成功している」とコメントしています。
Wardle 氏はこの攻撃のいかなるエクスプロイドコードも公開しないことを選択したため、Apple からこの問題を修正する OS アップデートが速やかに公開されることが期待されます。MacOS High Sierra のユーザは、パッチの公開までの間、署名のないアプリケーションについては特に注意が必要です。また、どのような場合も、非公式の提供元からアプリケーションをダウンロードするべきではありません。
– Marc Laliberte