シマンテックは、Apple Mac のほとんどのモデルに影響する深刻な脆弱性が存在することを確認しました。攻撃者がこの脆弱性を利用すると、ファームウェアを上書きし、コンピュータに永続的なルートアクセスを確立する恐れがあります。
これは Apple Mac OS X の EFI ファームウェアに存在するセキュリティ脆弱性で、セキュリティ研究者 Pedro Vilaca 氏によって先週発見されたものです。氏によると、省エネ設計に欠陥があるため、影響を受ける Mac がスリープモードから復帰するとき、フラッシュ保護のロックが解除されたままになると言います。つまり、攻撃者はコンピュータのファームウェアを再フラッシュし、Extensible Firmware Interface(EFI)ルートキットマルウェアをインストールできてしまうということです。
シマンテックによる解析でも、氏の解説に従って悪用を再現し、この脆弱性の存在が確認されました。今回の脆弱性は深刻と位置付けられます。攻撃者はコンピュータに対する永続的なルートアクセスが可能になり、ディスクを完全消去しても、オペレーティングシステムを再インストールしてもルートアクセスは存続する可能性があるからです。
攻撃者は、ルートアクセスを許す他の悪用と組み合わせて、この脆弱性をリモートで悪用することができます。広く拡散することはありませんが、今回のような脆弱性はときどき出現します。攻撃者がひとたびルートアクセスを獲得したら、後はコンピュータがスリープモードになりさえすれば、悪用に成功できることになります。
この脆弱性が実際に悪用された例はまだ報告されていませんが、情報が広まれば攻撃の可能性も高くなるでしょう。
影響を受ける Mac
最初のレポートによると、最新の 2015 年モデルを除くすべての Mac が、この脆弱性の影響を受けるようです。
シマンテックは現時点までに、4 種類の Mac コンピュータをテストしており、以下のコンピュータで脆弱性が確認されました。
- Mac Mini 5.1
- MacBook Pro 9.2
以下のコンピュータは影響を受けませんでした。
- MacBook Pro 11.3
- MacBook Air 6.2
Vilaca 氏は、以下の機種で脆弱性を確認しています。
- MacBook Pro Retina 10.1
- MacBook Pro 8.2
- MacBook Air 5.1
- Mac Pro 9.1
対処方法
この脆弱性に対するパッチが公開されるまで、標的になる恐れがある機種ではスリープモードを使わず、コンピュータを終了することをお勧めします。
影響を受ける Mac をお使いの場合には、ソフトウェアを最新の状態に保ってください。この脆弱性をリモートで悪用するには、リモートでルートアクセスを許す別の脆弱性と組み合わせる必要があるからです。ソフトウェアのアップデートによって、既知の悪用コードを利用した攻撃は防がれます。
この脆弱性の解析は続行中で、新しい事実が判明し次第、更新情報をお届けする予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】