macOS を最新の状態に保つ最も大きな理由の 1 つは、セキュリティ上の問題から身を守ることです。Jamf は 2022 年の夏に、攻撃者が macOS Gatekeeper を回避できる大きな問題を発見しました。
Jamf Threat LabsはmacOS Monterey 12.5にこの脆弱性を発見しました。同社は2022年5月31日にAppleに報告し、Appleは7月に修正パッチを公開しました。
Jamf によると、この攻撃は、潜在的に悪意のあるアクティビティを監視するシステム API である Mac エンドポイント セキュリティを回避できる Safari の欠陥を同社チームが発見したことから始まったという。
パッチが適用される前は、攻撃者は特定のターミナルコマンドを使ってZIPファイル内に悪意のあるアプリを配置し、Safariの脆弱性を悪用することができました。チームはAppleにこの脆弱性を報告した後、同様の問題が発生する可能性のある他のアーカイブ機能についても調査を行いました。
アーカイブユーティリティ
macOSの内蔵アプリでファイルの圧縮・解凍が可能な「アーカイブユーティリティ」をテストしたところ、別の脆弱性が発見されました。この脆弱性は、プラットフォーム間のセキュリティ上の欠陥を追跡する共通脆弱性識別子(CVE)データベースでCVE-2022-32910として追跡されています。
Jamf は、同様のコマンドでアーカイブ ユーティリティを使用して Apple アーカイブを作成すると、ファイルがダブルクリックで開くと Gatekeeper とすべてのセキュリティ チェックをバイパスすることを発見しました。
Apple Archiveは、ロスレス圧縮を可能にする同社独自のフォーマットです。Finderで表示されるこれらのファイルは、「.aar」という拡張子を持ちます。しかし、開発チームによると、この脆弱性はApple Archiveに限ったものではないとのことです。
Safariのリンク方法
Jamfによると、インターネットからアーカイブがダウンロードされると、com.apple.quarantineという固有の属性が追加されます。この属性は、macOSにファイルがリモートソースからダウンロードされたことを伝え、実行を許可する前にチェックする必要があることを示します。
アーカイブ ユーティリティはアーカイブを抽出するときに、抽出されたすべての項目に検疫属性を適用します。
彼らの例では、システムがcom.apple.quarantine を適用する通常の場所の外側にイメージファイルを追加しました。その後、Archive Utility でファイルを解凍すると、他のファイルには隔離属性が付いていたにもかかわらず、そのイメージには隔離属性が付いていませんでした。
検疫属性のないファイル
その結果、Gatekeeperはアーカイブ内の通常のディレクトリ外にあるファイルをチェックしなくなります。攻撃者は、例で使用した画像ファイルの代わりに、悪意のあるアプリケーションを追加する可能性があります。
その後、ユーザーがインターネットからダウンロードしたアーカイブを開くと、悪意のあるコードが自動的に実行され、システムによるセキュリティプロンプトが表示されなくなります。
自分を守る方法
この攻撃から身を守る最も明白な方法は、この脆弱性が夏以降修正されているため、macOS を最新の状態に保つことです。
ユーザーは、ウイルス対策やマルウェア対策などの他のセキュリティ アプリをダウンロードできます。
Objective Seeのツールは、ウイルス対策ソフトの代替として人気がありますが、併用も可能です。Macのネイティブセキュリティを補完する無料のオープンソースアプリです。
iOS 16 迅速なセキュリティ対応
iOS 16、iPadOS 16、macOS Venturaには、Rapid Security Responseと呼ばれる機能が搭載されています。この機能により、Appleは完全なソフトウェアアップデートを必要とせずに、デバイスにセキュリティアップデートを送信できます。
iOS 16およびiPadOS 16では、「設定」>「一般」>「ソフトウェア・アップデート」>「自動アップデート」にあります。「セキュリティレスポンスとシステムファイルをインストール」というトグルをオンにすると、セキュリティバグのパッチとシステムファイルが自動的にインストールされます。
インストールを完了するには、デバイスを再起動する必要がある場合がありますが、トグルをオフにしても一部のシステム ファイルが自動的にインストールされる場合があります。
