こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月6日、「direct」デスクトップ版アプリ Mac版におけるアクセス制限不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】「direct」デスクトップ版アプリ Mac版に脆弱性が発見されています。ご利用中の方はアップデートを検討してください。発見された脆弱性の内容と、その影響について説明します。
今回の脆弱性は、アクセス制限不備の脆弱性が存在するというものです。影響を受けるシステムは、「direct」デスクトップ版アプリ Mac版 ver 2.6.0 およびそれ以前です。影響として、macOS が提供するアクセス制御機構 TCCを回避される可能性があるということです。
深刻度を表すCVSSv3の基本値は4.4で、3番目に高い「警告」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2023-41775」で検索してみてください。
なお、Windows版においては本脆弱性は確認されていませんが、Mac版同様の仕組みを採用していることから、Windows版においても修正バージョンが提供されています。「direct」デスクトップ版アプリ Windows版をお使いの方も、可能であればアップデートを検討してください。
「direct」デスクトップ版アプリは、株式会社L is Bが提供するビジネスチャットサービス「direct」のデスクトップ用アプリケーションです。このアプリを使うと、MacやWindowsのデスクトップから「direct」のチャットや通話機能を利用することができます。今回、発見された脆弱性の内容について解説します。
みなさんも、お仕事でビジネスチャットサービスを使うことがあると思います。ビジネスチャットサービスを使っている者同士でWeb会議を行う際に、カメラやマイクなどの機能を使うことができますが、ビジネスチャットサービスがカメラやマイクの機能を使うことを、所有者が許可しないと、それらの機能が有効になることはありません。この、デバイスを制御するmacOSのセキュリティ機能をTCCと言います。
今回の脆弱性が悪用されると、TCCが迂回され、所有者の同意なく端末のカメラやマイク等が利用される可能性があります。また、カメラやマイクなどを利用された結果、撮影された画像データや録音された音声データを窃取される可能性もあるということです。
今回の脆弱性が悪用された場合、EDRで検知することができる可能性があります。
今回の脆弱性は、「ローカルマシンにアクセスできていること」が前提条件となっています。つまり、脆弱性を悪用するためには、第三者が何らかの方法で所有者のパソコンへログインできていることが必要となります。安易なパスワードを設定していたり、他の脆弱性を放置していたりしなければ、ローカルマシンにアクセスされることはないと考えますが、万が一、第三者にローカルマシンへアクセスされたとしても、脆弱性を悪用する行為自体を不審な挙動として、EDRが検知してくれるかもしれません。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ