ITmedia NEWS >
ニュース
2017年02月23日 12時12分 UPDATE

GarageBandオンザラン:GarageBand「任意のコードを実行できる脆弱性」を試してみた(検証動画あり)

iOS版で試してみたが、ある意味危険だった。

[松尾公也,ITmedia]

 Appleが無償で提供している音楽制作ソフトGarageBand。これについて、興味深いニュースがガレバン界隈を駆け巡った。Mac版GarageBandに脆弱性が見つかり、アップデートされたというのだ。

Apple、GarageBandのセキュリティアップデートを公開

 この記事では次のように説明されている。

「この問題を悪用すれば、細工を施したGarageBandプロジェクトファイルを開かせることによって、任意のコードを実行できてしまう可能性が指摘されている」

 任意のコードを実行してしまう可能性。

 ふむ。それはiOS版GarageBandにも存在し、実際に自分もよく使っているものだ。知らないうちに脆弱性を悪用していたのか。

 今回はMac版のみということではあるが、iOS版でも任意のコードを実行できるかどうか検証してみた。

 iOS版GarageBandで任意のコードを実行するのは簡単だ。画面右上にある設定アイコンをタップし、そのメニューに出てくる「コードを編集」を選ぶと、「カスタムコード」という画面が出てくる。

photo 「コードを編集」を選ぶ
photo 9th、13thだけでなく、ベース音まで任意のものを指定できる

 iPhoneとiPadでは8個、12.9インチのiPad Proでは16個まで「任意のコード」を実行できるのだ。

 試しに、12.9インチiPad Proで「Hard Rock」ギターを選び、16個すべてを任意のコードに置き換えてみたところ。非常に危険であることが判明した。

 特に、全部パワーコードにした場合。

 パワーコードというのは、コードのルート音と五度だけ。三度が入らない、Enter Sandmanとは逆方向のコードだが、メタリカのように非常に力強いサウンドが響く。GarageBandのカスタムコードで「C5」にすると、Cのパワーコードであるドとソだけのコードになる。16個すべてをパワーコードにして実証実験を行った。

photo 16個すべてをパワーコードにしてみた

 画面左を押したままにするとミュートされるので、それをオン・オフしながらでたらめに指を動かしていくと、まるでエディー・ヴァン・ヘイレンのEruption前半のような高速ピッキングができているではないか(個人の感想です)。

 こんなふうに自己陶酔の危険性があるのはわかった。

 コード(code)とコード(chord)を間違いやすいというのは日本語の脆弱性だが、それによってGarageBandの面白い機能を見つけられたのでよしとしよう。

 ニューアルバムの96%をGarageBandで仕上げたという電気グルーヴのお2人もちゃんとアップデートしたと思うので、Macユーザーのみなさんも忘れずにセキュリティアップデートをぜひ。Logic Pro Xにも同様の脆弱性があるようなので、こちらもお忘れなきよう。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.