AppleのShortcutsアプリにおいて、ユーザーの許可なしに機密データを盗み出すことが可能な脆弱性(CVE-2024-23204)が発見された。この脆弱性は、macOSおよびiOS向けに設計されたShortcutsアプリケーションに影響を及ぼし、特定のタスクを自動化するために使用される。Bitdefenderの分析によると、悪意のあるShortcutsファイルを作成することで、Appleの透明性、同意、および制御(TCC)セキュリティフレームワークを迂回し、ユーザーの許可なしに機密データやシステム情報を盗み出すことが可能である。
このバグは、macOS Sonoma 14.3、iOS 17.3、iPadOS 17.3より前のバージョンを実行しているmacOSおよびiOSデバイスに影響を与え、Common Vulnerability Scoring System(CVSS)で10点中7.5(高)と評価されている。Appleはこのバグを修正し、ユーザーに対して最新バージョンのApple Shortcutsソフトウェアを実行するよう促している。
さらに、Accentureの報告によると、2019年以降、macOSを狙ったDark Webの脅威アクターが10倍に増加しており、この傾向は続くと予想される。Appleは、SafariブラウザのWebKitエンジンにおけるゼロデイ脆弱性(CVE-2024-23222)も修正した。ユーザーは、信頼できないソースからのショートカットの実行に注意し、Appleからのセキュリティ更新とパッチを定期的に確認することが強く推奨される。
【ニュース解説】
AppleのShortcutsアプリにおける重大な脆弱性が発見されました。この脆弱性は、ユーザーの許可なしに機密データを盗み出すことが可能であると報告されています。Shortcutsアプリは、macOSおよびiOS向けに設計され、ユーザーが特定のタスクを自動化するために使用されます。しかし、この脆弱性(CVE-2024-23204)により、悪意のあるShortcutsファイルを通じて、Appleの透明性、同意、および制御(TCC)セキュリティフレームワークを迂回し、機密データやシステム情報を無断で盗み出すことが可能になるというのです。
この問題は、macOS Sonoma 14.3、iOS 17.3、iPadOS 17.3より前のバージョンを実行しているデバイスに影響を及ぼし、その危険性は高いと評価されています。Appleはこの問題に対処し、ユーザーに最新バージョンへのアップデートを促しています。
この脆弱性の発見は、macOSを狙ったサイバー攻撃が増加しているという背景の中で起こりました。2019年以降、macOSを対象としたDark Web上の脅威アクターが10倍に増加しており、Appleのデバイスもサイバー攻撃の対象となっていることが明らかになっています。Appleは、このような脅威に対抗するため、SafariブラウザのWebKitエンジンにおけるゼロデイ脆弱性も修正しています。
この脆弱性の発見と修正は、ユーザーにとって重要な意味を持ちます。まず、ユーザーは自分のデバイスを最新の状態に保つことの重要性を再認識する必要があります。また、信頼できないソースからのショートカットの実行には注意が必要です。このような脆弱性は、ユーザーのプライバシーとセキュリティに直接的な影響を及ぼすため、定期的にセキュリティ更新とパッチを確認し、適用することが強く推奨されます。
長期的な視点では、この事件はAppleだけでなく、他のテクノロジー企業にとっても、セキュリティ対策の強化とユーザーの安全を確保するための継続的な努力の重要性を示しています。また、サイバーセキュリティの教育と意識の向上が、個人ユーザーにとってもますます重要になっていることを示しています。このような脆弱性は、技術の進歩と共に新たな形で現れ続けるため、ユーザー、開発者、セキュリティ専門家が一丸となって対応していく必要があります。
from Zero-Click Apple Shortcuts Vulnerability Allows Silent Data Theft.
