Appleの「macOS High Sierra」に未解決の脆弱性情報、パスワード盗まれる恐れ

「キーチェーン」からパスワードを盗むことができてしまう未解決の脆弱性をセキュリティ研究者が発見し、デモ映像を公開した。

[鈴木聖子，ITmedia]

　米Appleがリリースしたばかりの新OS、「macOS High Sierra」について、パスワード管理アプリケーションの「キーチェーン」からパスワードを盗むことができてしまう未解決の脆弱（ぜいじゃく）性が指摘された。

「macOS High Sierra」の、パスワード管理アプリケーション「キーチェーン」に存在する未解決の脆弱性が指摘された

　この脆弱性に関する情報は、セキュリティ企業Synackの研究者で、米国家安全保障局（NSA）のアナリストだったというパトリック・ウォードル氏が9月25日にTwitterに投稿した。

　キーチェーンはMac上でパスワードやアカウント情報などを保存するアプリケーションで、これを使えば別々のWebサイトなどで異なる多数のパスワードを記憶したり管理したりする手間が省ける。

　しかしウォードル氏は、攻撃者が不正なコードを使ってキーチェーンに保存されているパスワードを引き出せてしまう問題を発見。同氏が公開したビデオでは、「keychainStealer」というアプリケーションを実行して「exfil keychain」というボタンをクリックすると、Facebook、Twitter、オンラインバンキングなどのパスワードが平文で表示されている。

　このアプリケーション実行の過程では、「提案：macOSバグバウンティプログラム（慈善目的）」というウォードル氏の要望も表示される。

　ウォードル氏は米Forbesの取材に対し、「root特権がなくても、ユーザーがログインしていれば、キーチェーンから平文のパスワードなどを引き出すことができる。普通はプログラム的にこうしたことができてはならない」とコメントしている。

Forbesの取材に対し、この脆弱性を発見したウォードル氏がコメント

　攻撃を仕掛けるためにはMac上でユーザーに不正なコードを実行させる必要がある。しかしウォードル氏は過去に何度もMac関連の脆弱性を指摘してきた立場から、Mac上で悪意のあるコードを実行させるのはそれほど難しくないと指摘しているという。