MicrosoftがmacOSの脆弱性を発見 ～セキュリティ機能「SIP」を無効化可能

「Shrootless」脆弱性（CVE-2021-30892）

　米Microsoftは10月28日（現地時間）、macOSの脆弱性を発見したと発表した。セキュリティ機能「システム整合性保護」をバイパスして、デバイスで任意の操作が行えてしまう上、同様の手法で権限昇格を引き起こし、デバイスをroot化できる可能性もあるという。

　「システム整合性保護」（System Integrity Protection：SIP、「rootless」とも）は「OS X El Capitan」以降で採用されているセキュリティ技術で、管理者（root）アカウントのファイルアクセス権限に強い制約を課す。たとえ管理者であってもシステムの重要な部分に触れられないようにすることで、マルウェアがシステムを改竄したり、誤操作でシステムを破壊するリスクからユーザーを守る。

　しかし、これにはいくつかの例外がある。たとえば、OSのアップデートにはシステムディレクトリへの無制限なアクセスが必須だ。そのため、AppleはSIPをバイパスするための特殊な権限を設けている。Microsoftのセキュリティチームは、この特殊な権限を持つmacOSプロセスを評価している最中に、「system_installd」デーモン（Windowsのサービスに相当する常駐プロセス）が権限を子プロセスに継承できることを発見したという。

　Appleの署名パッケージ（.pkgファイル）をインストールする場合、そのパッケージは「system_installd」を呼び出してインストール処理を進めるが、パッケージにスクリプトが含まれており、インストール後にそれが呼び出されると、OSデフォルトのシェル（zsh）が呼び出される。

　「zsh」は起動すると「/etc/zshenv」ファイルを検索し、コマンドがあれば非対話モードでも自動でそれを実行する。そのため、悪意のある「zshenv」ファイルを作成して「system_installd」が「zsh」を実行するのを待てば、コマンドがSIPを回避して実行されてしまう。

　これを悪用すれば、攻撃者はシステムにルートキット（システムに潜伏し、他のマルウェアの活動を支援する不正ツール）を仕込んだり、システムからは検出できないマルウェアを植えつけたりすることができる。

　この脆弱性は「Shrootless」と名付けられており、識別番号「CVE-2021-30892」が割り当てられている。Microsoftは「協調的な脆弱性の公開」（CVD）プロセスを通じてAppleへ通知され、一般に公開される前にAppleによって修正された。25日付けでリリースされた「macOS Monterey 12.0.1」「macOS Big Sur 11.6.1」「Security Update 2021-007 Catalina」を適用すれば、脆弱性の影響を受けることはない。

　MicrosoftはWindows以外のデバイスを対象にした攻撃が増加しつつあることを指摘するとともに、Mac版「Microsoft Defender for Endpoint」（旧称：Microsoft Defender ATP）などの製品を導入するなどして、OSのセキュリティだけに頼らない多層防御を行うよう呼び掛けている。