Macの「システム整合性保護(SIP)」は、マルウェアや不正な更新からOSを守る重要なセキュリティ機能です。
SIPはシステムレベルの操作を制限し、ルート権限を持つユーザーでも保護領域の特定フォルダやファイルを変更できないようにします。
通常、SIPを無効化するにはmacOSのリカバリモードでの起動が必要で、物理的アクセスが求められるのですが、Microsoftの脅威インテリジェンスチームは「CVE-2024-44243」(通称「Migraine」)という脆弱性を発見しました。
この脆弱性により、サードパーティのカーネル拡張をロードできるようになり、セキュリティリスクを引き起こします。
この脆弱性を悪用されると、攻撃者はTCC(Transparency, Consent, and Control)のポリシーデータベースを改ざんし、位置情報、閲覧履歴、カメラやマイクへのアクセスをユーザーの同意なしに取得できる可能性があります。
さらに、マルウェアやルートキットのインストール、セキュリティツールの無効化、攻撃の拡大も引き起こされる可能性もあり、Microsoftの研究者によれば、SIPで保護されたファイルを作成し、通常の手段では削除できなくすることも可能です。
Appleはこの脆弱性を「悪意あるアプリが保護領域を改変できるロジックの問題」と説明し、昨年12月に修正パッチをリリースしました。macOS Sequoia 15.2以降のアップデートには、この問題の修正が含まれています。
Microsoftの調査では、この脆弱性は「Storage Kitデーモン」と呼ばれるmacOSの重要プロセスに存在することが判明しました。
このプロセスはディスク管理を担当しており、攻撃者がルート権限を利用してカスタムファイルシステムバンドルを挿入・有効化し、不正な操作を行える可能性があります。
これは「移行アシスタント」の悪用によって実現され、任意のコード実行が可能となります。
さらに、Tuxera、Paragon、EaseUS、iBoysoftなどのサードパーティ製ファイルシステムでも同様の脆弱性が確認されています。
攻撃者はカスタムコードを埋め込み、「ディスクユーティリティ」や「diskutil」コマンドを使ってSIPを回避し、Appleのカーネル拡張除外リストを上書きすることができます。
過去にも、SafariのTCC保護を回避する別の脆弱性が発見され、Appleは昨年9月16日に修正パッチを公開しました。
Microsoftはその際、Outlook、Teams、PowerPoint、OneNote、Excel、Wordの6つのアプリケーションが、ユーザーの許可なく機密情報へのアクセスや、メール送信、音声・映像の録画が可能となる脆弱性を抱えていることも報告しています。
MacBookやMac mini M4、iMacなどを使用している場合は、最新のセキュリティアップデートを早急に適用することが推奨されます。
