アンドリュー・オール
· 2分で読めます
できるだけ早くMacをアップデートしましょう
macOS の脆弱性により、システム整合性保護を回避して Apple デバイスが重大なセキュリティリスクにさらされていましたが、セキュリティパッチによりこの脆弱性が排除されました。
2025年1月13日、Microsoft Threat IntelligenceはmacOSの重大な脆弱性(CVE-2024-44243)を公開しました。この脆弱性は、サードパーティ製のカーネル拡張機能を悪用することでAppleのシステム整合性保護(SIP)をバイパスします。この問題は現在修正済みですが、攻撃者がmacOSのセキュリティを根本から侵害する可能性がありました。
システム整合性保護(SIP)は、重要なシステムファイルとプロセスを保護するために設計されたmacOSのセキュリティ機能です。管理者権限を持つユーザーであっても、オペレーティングシステムの安定性とセキュリティを損なう可能性のある変更を行うことを制限します。
SIP は機密性の高いシステム ファイルを保護し、任意のカーネル コードの実行を防ぎ、アプリが不正なカーネル ドライバーをロードできないようにします。
CVE-2024-44243は、ルートキットと呼ばれる悪意のあるサードパーティ製カーネル拡張機能をロードすることで、攻撃者がSIP保護を回避できることを示しました。ルートキットは、不正アクセスを許可し、永続的なマルウェアをインストールし、ユーザーの権限を回避し、セキュリティメカニズムを改ざんします。
CVE-2024-44243の仕組み
この脆弱性は、macOSプロセスに組み込まれた特別な権限である「エンタイトルメント」に依存しています。これらのエンタイトルメントは、プロセスが実行できる操作と実行できない操作を制御するため、SIPにとって重要です。
Storagekitdとその権限。画像提供:Microsoft
一部のプロセスには、デバッグやファイル管理などの重要なシステム機能用に予約されたプライベート権限があります。
Microsoftの研究者は、攻撃者が権限を持つプロセス、具体的にはAppleのStorage Kitフレームワークを通じてディスク状態を管理するstoragekitdデーモンを悪用できることを発見しました。storagekitdは広範な権限を継承するため、SIPをバイパスできる子プロセスを生成する可能性があります。
攻撃者は、デーモンを使用して、独自のカーネル拡張機能を挿入し、検出されることなくオペレーティング システムを制御する可能性があります。
マイクロソフトは、この脆弱性を特定した後、協調的脆弱性開示(CVD)プロセスに基づきAppleに開示しました。Appleは2024年12月11日のセキュリティアップデートでCVE-2024-44243に対処し、すべてのユーザーにMacの即時アップデートを強く求めました。
Macを保護する方法
この脆弱性からMacを保護する最善の方法は、最新のmacOSアップデートを実行していることを確認することです。Appleは2024年12月11日のセキュリティパッチでこの問題を修正しました。まだアップデートしていない場合は、アップデートが不可欠です。
確認するには、「システム設定」>「一般」>「ソフトウェアアップデート」に進み、利用可能なアップデートをインストールします。
最新のmacOSに対応していない古いMacをお使いの場合は、Appleのセキュリティアップデートで、システムにまだ適用可能なパッチがないか確認してください。また、信頼できるソースからのものであることが確実でない限り、サードパーティ製のカーネル拡張機能のインストールは避けるのが賢明です。
SIPを誤って無効にしてしまう心配はありません。macOSではデフォルトで有効になっており、無効にするにはリカバリモードのターミナルを使用して慎重に操作する必要があります。
