今週、ネバダ州ラスベガスで開催されたBlack Hatカンファレンスで、セキュリティ専門家が2018年モデルのMacBook Proの脆弱性を実証しました。研究者たちは、ハッカーが新型MacBook Proを初めてWi-Fi接続した瞬間から制御できることを発見しました。これにより、ユーザーがデスクトップ画面を初めて見る前にマルウェアがマシンにインストールされる可能性があります。幸いなことに、Appleはこの問題の報告を受けてすぐに修正プログラムを公開しました。
研究者によると、この脆弱性を悪用するのは容易なプロセスではない。なぜなら、企業が購入したラップトップが、Appleのモバイルデバイス管理ツールを使ってエンタープライズアプリをインストールしている必要があるからだ。さらに、中間者攻撃も必要となる。
Wired は次のように説明しています。
Macの電源を入れて初めてWi-Fiに接続すると、Appleのサーバーにチェックインし、基本的に「このシリアル番号のMacBookです。誰かの所有物ですか?どうすればいいですか?」と尋ねます。
シリアル番号がDEPとMDMの一部として登録されている場合、最初のチェックによって事前に定められたセットアップシーケンスが自動的に開始され、AppleのサーバーとMDMベンダーのサーバーによる一連の追加チェックが行われます。企業は通常、Appleのエンタープライズエコシステムを利用するためにサードパーティのMDMファシリテーターを利用しています。各ステップで、システムは「証明書ピンニング」と呼ばれる、特定のWebサーバーが本当にそのサーバーであることを確認する手法を使用します。しかし、研究者たちはあるステップで問題を発見しました。MDMがエンタープライズソフトウェアのダウンロードをMac App Storeに引き渡す際、シーケンスはダウンロードする内容とインストール場所を示すマニフェストを取得しますが、マニフェストの真正性を確認するためのピンニングは行われません。
ハッカーが MDM ベンダーの Web サーバーと被害者のデバイスの間のどこかに潜んでいる場合、ダウンロード マニフェストを悪意のあるマニフェストに置き換えて、コンピューターにマルウェアをインストールするように指示する可能性があります。
Appleはこの脆弱性を認識し、先月リリースされたmacOS High Sierra 10.13.6アップデートで迅速に修正を行いました。ただし、一部のマシンには古いバージョンのmacOSが搭載されていたため、この点は留意が必要です。
先月発売された2018年モデルのMacBookシリーズで発覚した問題は、今回が初めてではありません。今週初め、一部のユーザーがデバイスのスピーカーから突然パチパチというノイズが出るとオンラインで報告しました。さらに数週間前には、この新型MacBookがWindows版のブルースクリーン・オブ・デス(死のブルースクリーン)に見舞われるという苦情も寄せられていました。
会社支給のMacに脆弱性があるのではないかと心配な場合は、ITマネージャーにご相談ください。それ以外の方は、システムが常に最新の状態であることを確認してください。
Macのソフトウェアアップデートを確認するには、MacでApp Storeアプリを開きます。App Storeツールバーの「アップデート」をクリックし、「アップデート」ボタンを使ってリストされているアップデートをダウンロードしてインストールします。過去30日間にインストールされたアップデートは、このリストの下に表示されます。
