古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

Appleの「macOS High Sierra」に未解決の脆弱性情報、パスワード盗まれる恐れ

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/09/25
Appleの「macOS High Sierra」に未解決の脆弱性情報、パスワード盗まれる恐れ: Forbesの取材に対し、この脆弱性を発見したウォードル氏がコメント © ITmedia エンタープライズ 提供 Forbesの取材に対し、この脆弱性を発見したウォードル氏がコメント

 米Appleがリリースしたばかりの新OS、「macOS High Sierra」について、パスワード管理アプリケーションの「キーチェーン」からパスワードを盗むことができてしまう未解決の脆弱(ぜいじゃく)性が指摘された。

 この脆弱性に関する情報は、セキュリティ企業Synackの研究者で、米国家安全保障局(NSA)のアナリストだったというパトリック・ウォードル氏が9月25日にTwitterに投稿した。

 キーチェーンはMac上でパスワードやアカウント情報などを保存するアプリケーションで、これを使えば別々のWebサイトなどで異なる多数のパスワードを記憶したり管理したりする手間が省ける。

 しかしウォードル氏は、攻撃者が不正なコードを使ってキーチェーンに保存されているパスワードを引き出せてしまう問題を発見。同氏が公開したビデオでは、「keychainStealer」というアプリケーションを実行して「exfil keychain」というボタンをクリックすると、Facebook、Twitter、オンラインバンキングなどのパスワードが平文で表示されている。

 このアプリケーション実行の過程では、「提案:macOSバグバウンティプログラム(慈善目的)」というウォードル氏の要望も表示される。

 ウォードル氏は米Forbesの取材に対し、「root特権がなくても、ユーザーがログインしていれば、キーチェーンから平文のパスワードなどを引き出すことができる。普通はプログラム的にこうしたことができてはならない」とコメントしている。

 攻撃を仕掛けるためにはMac上でユーザーに不正なコードを実行させる必要がある。しかしウォードル氏は過去に何度もMac関連の脆弱性を指摘してきた立場から、Mac上で悪意のあるコードを実行させるのはそれほど難しくないと指摘しているという。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon