ウェブブラウザーで複数のタブを開いていたとしよう。それによって生じる最悪の事態といえば、たいていは広告の動画が突然再生し始めたタブを探すときに苦労する程度だろう。

「ウェブブラウザーは多機能化するほどハッカーに狙われる? 「Safari」の脆弱性から見えたジレンマと、知っておくべき重要なこと」の写真・リンク付きの記事はこちら

ところが、アップルが2021年末に修正した一連のmacOSの脆弱性は、ウェブブラウザー「Safari」のタブやその他のブラウザーの設定を外部からの攻撃に晒しかねないものだった。この脆弱性により、ハッカーがユーザーのオンラインアカウントを制御したり、マイクを有効にしたり、ウェブカメラを乗っ取ったりできるようになる可能性があったのである。

こうした攻撃を防ぐ目的でmacOSには、Macが実行するソフトウェアの信頼性を確認するセキュリティ技術「Gatekeeper」などの機能が組み込まれている。だが、今回の攻撃方法は、macOSがすでに信頼している「iCloud」やSafariの機能を悪用し、これらのセキュリティ機能を回避するものだった。

独立系セキュリティ研究者のライアン・ピックレンは、Safariの潜在的な脆弱性を調査していたとき、iCloudの文書共有機能に着目し始めた。iCloudとmacOSの間に信頼関係が内在しているからだ。

あるユーザーがほかのユーザーとiCloudの文書を共有する際に、「ShareBear」と呼ばれるiCloud共有のアプリケーションによって文書の共有が実行される。このShareBearを操作することで被害者に悪意あるファイルを送付できることを、ピックレンは発見したのだ。

実際、最初はファイル自体が悪意あるものである必要すらない。そのほうが、何かもっともらしいファイルを送付することで被害者をだまし、クリックさせやすくなるからだ。

SafariとiCloud、そしてShareBearとの間には信頼関係が存在することから、攻撃者はあとから被害者と共有したファイルにアクセスできる。そして密かに悪意あるファイルとすり替えることができることを、ピックレンは発見した。被害者がiCloudから新たなコマンドを受け取ることもなく、ファイルの変更にもまったく気づかぬまま、これらすべてを実行できるという。

いったん攻撃が仕掛けられると、攻撃者は基本的にSafariを乗っ取ることができる。被害者が閲覧しているものを閲覧し、被害者がログインしているアカウントにアクセスし、被害者がウェブサイトに許可したカメラやマイクへのアクセス権を悪用できる。被害者のMacに保存されているほかのローカルファイルにもアクセス可能だ。

「基本的には攻撃者がブラウザーに穴を開けているようなものです」と、アップルに脆弱性を報告したピックレンは言う。「あるユーザーがひとつのタブで『twitter.com』にサインインしていれば、ハッカーはそこにアクセスし、そのユーザーがTwitter上で可能なすべてのことを実行できます。でも、それはTwitterのサーヴァーやセキュリティとはまったく関係ないのです。攻撃者は単にユーザー自身のブラウザー上ですでに実行していることを引き継いで実行しているだけですから」

巧妙な手口

アップルは21年10月、Safariが用いているレンダリングエンジン「WebKit」の脆弱性を修正し、iCloudにも修正を加えた。さらに12月には、「スクリプトエディタ」のコード自動化と編集ツールに関連する脆弱性についても修正している。

「これは脆弱性を利用した一連の巧妙な手口です」と、macOSのセキュリティに関する非営利団体「Objective-See」の創設者で長年にわたって研究を続けているパトリック・ウォードルは指摘する。「設計上の欠陥を悪用し、macOSに組み込まれた機能を巧みに利用してセキュリティ機能を回避し、システムを危険に晒すという手法は賢いやり方です」

セキュリティ研究者のピックレンは以前も、ウェブカメラの乗っ取りができる可能性があった一連のSafariの脆弱性を発見している。ピックレンは今回の新たな脆弱性の発見を、21年7月半ばからアップルが開始した脆弱性やバグに対する報奨金制度を通じて報告した。

これを受けてアップルは、ピックレンに10万500ドル(約1,160万円)の報奨金を支払っている。この額はアップルの制度では前例がないわけではないものの、金額の規模は欠陥の重大性を反映していると言っていい。例えばアップルは20年、同社のシングルサインオン機能を用いたサインインに関する重大な欠陥が報告された際にも、10万ドルを報奨金として支払っている。

知っておくべき重要なこと

とはいえ、SafariやWebkitは非常に巨大なプラットフォームであることから、特有のセキュリティに関する課題が存在する。そしてアップルは、脆弱性が数週間あるいは数カ月公開されていても問題への対処に手こずっている。

「システムが複雑になればなるほど、より多くの脆弱性が発生します。今日のウェブブラウザーでは特にそうです」と、ピックレンは言う。「Safariは非常に多くのことを実行できます。機能が増えるにつれ、より多くの脆弱性が見つかるようになってもまったく不思議ではありません」

このような脆弱性は一般的かもしれないが、だからと言って深刻度が低いわけではない。攻撃者は犯罪や国家が関与したハッキングの目的で、定期的にブラウザーの脆弱性を利用するからだ。

ブラウザーの脆弱性は、例えば改ざんしたウェブサイトの閲覧者を標的とする「水飲み場型攻撃」に頻繁に利用される。ハッカーは自分たちが発見あるいは購入したブラウザー関連の未修正の「ゼロデイ」脆弱性を積極的に利用している。さらに標的者のブラウザーがアップデートされていない場合は、攻撃者が都合のいいように利用できる古い脆弱性も利用されている。

「このような脆弱性は、ブラウザーを最新のものにしておくことの重要性を浮き彫りにします」とピックレンは指摘する。「ブラウザーの更新は後回しにしがちですが、非常に重要なのです」

どんなウェブブラウザーを選んでいようと、これは的確なアドヴァイスだろう。

(WIRED US/Edit by Daisuke Takimoto)

Related Articles

その便利な「ブラウザー拡張機能」は使っても大丈夫? 本当に安全かどうか確かめる方法

ウェブブラウザーの拡張機能(アドオン)は便利だが、その安全性はきちんと確認しておいたほうがいい。「Google Chrome」や「Safari」をはじめとする4つのウェブブラウザーで拡張機能の安全性を確かめる方法を紹介しよう。

さらば、Internet Explorer:廃止が公式に決まっても、脅威は今後も残り続ける

マイクロソフトが長らく標準のウェブブラウザーとして採用してきた「Internet Explorer」(IE)を、2022年6月15日をもって廃止すると5月19日(米国時間)に発表した。深刻なセキュリティ上の問題があとを絶たなかったIEの歴史が完全に終わることになるが、それでも一部のユーザーは利用を継続し、脆弱性を狙うハッカーの脅威は消えない可能性が高い。