エフセキュア社の研究開発部門では、macOS Gatekeeperに、攻撃者が無防備なユーザをマルウェアに感染させるために利用できる脆弱性を発見しました。 攻撃者は、フィッシングなどを用いてこの脆弱性を悪用した特別に細工された.zipファイルをダウンロードするようにユーザーを操作することで、macOS Gatekeeperの「コード署名」や「公証」のチェックを迂回させ、ユーザーを危険にさらします。
この脆弱性「CVE-2021-1810」は、もともと2020年末に発見されたものです。Apple社は今週初め、Big SurとCatalinaの両方に対するパッチをリリースしました。エフセキュアでは、この脆弱性が攻撃に悪用された形跡は確認しておらず、第三者からの報告も受けていません。しかし、今回のアップデートで対処された他の脆弱性もあるため、ユーザーの皆様には、できるだけ早くパッチを適用することが重要です。
Apple社がこの脆弱性に対するパッチをリリースした後も、ユーザー自身がデバイスをアップデートするまでは、詳細な記事の公開予定はありません。 しかし、この脆弱性の核となる点は、特別に細工されたZIPファイルです。
ご存知ない方のために説明しますと、Gatekeeperは、信頼できないソースからのソフトウェアの実行を防ぐことで、Macコンピュータのユーザーをマルウェアから守るために設計されたmacOSオペレーティングシステムの機能です。基本的に、Gatekeeperは、Apples社が発行した証明書(Developer ID)で署名され、Appleの公証サービスで承認されていないアプリケーションをブロックするものです。
.zipファイルで配布されているソフトウェアには、この脆弱性を利用した攻撃が含まれている可能性がありますが、いくつかの緩和策があります。一つは、Apple社のApp Storeでダウンロードされたアプリケーションは、この問題の影響を受けません。同様に、macOSインストーラーパッケージ(.pkg, .mpkg)として提供されているアプリケーションには、Gatekeeperとは別に検証されたインストーラー証明書が含まれています。また、エフセキュアでは、エンドポイント保護製品を使用しているマシン上でこれらのファイルが実行されないようにする検知機能を開発いたしましたので、ユーザーの皆様にはご安心いただけます。
また、上級者の方は、ダウンロードしたアプリケーションのコード署名をターミナルの「codesign -v」や「codesign -dv」を使って手動で検査することができます。
しかし、前述したように、誰もがソフトウェアをアップデートして、このような脅威やその他の脅威から安全に守る必要があります。
ディスクロージャーのタイムライン:
| 2020-12-09 | エフセキュアR&Dが脆弱性を発見 |
| 2020-12-11 | 当該脆弱性をApple Product Securityに開示 |
| 2021-01-14 | エフセキュアのエンドポイントプロテクション製品(F-Secure SAFE、F-Secure Computer Protection、F-Secure Client Security)への対応を開始しました。 |
| 2021-04-22 | Apple社は、次回のアップデートサイクルでレポートがクレジットされることを認めています |
| 2021-04-26 | Apple社は、「セキュリティ・アップデート 2021-002 Catalina」および「macOS Big Sur 11.3」を公開 |
カテゴリ