MacのSpotlightにセキュリティ脆弱性。発見したのは因縁のライバル
Microsoft Threat Intelligenceが「Sploitlight」と命名、位置情報や顔認識データなど機密情報が標的に
macOSのSpotlight機能に関するセキュリティ脆弱性が発見され、悪意のある攻撃者がユーザーの機密ファイルデータにアクセスできる可能性があることが明らかになった。Microsoft Threat Intelligenceが詳細を発表した。
Microsoftの脅威情報チームは、この攻撃手法を「Sploitlight」と命名している。これは、Spotlightプラグインを悪用したエクスプロイトであることに由来する。この脆弱性は、macOSのTCC(Transparency, Consent, and Control)保護機能を回避し、Apple Intelligenceにキャッシュされた機密情報を窃取する可能性がある。
Apple Intelligenceの機密データが標的に
この脆弱性により、攻撃者は通常ユーザーの同意なしにはアクセスできない個人情報にアクセスできる恐れがある。具体的には、正確な位置情報データ、写真や動画のメタデータ、Photo Libraryの顔認識データ、検索履歴、AIメール要約、ユーザー設定などが含まれる。
TCCは、アプリがユーザーの同意なしに個人情報にアクセスすることを防ぐように設計されているが、Microsoftの研究者はSpotlightが取り込むアプリバンドルを改変することで、この制限を回避する方法を発見した。
既に修正済み、早期対応でサイバー攻撃は回避
重要な点として、この脆弱性は実際に悪用される前にAppleによって修正されている。Microsoftがこの脆弱性の詳細をAppleと共有し、Appleは3月31日にリリースされたmacOS 15.4およびiOS 15.4のアップデートで問題を解決した。
Appleのセキュリティサポート文書によると、この問題は「データ編集の改善」により対処されたとされている。同時にAppleは、Microsoftから報告された他の2つの脆弱性についても、シンボリックリンクの検証改善と状態管理の改善により修正している。
MicrosoftはCVE-2025-31199として識別されるこの脆弱性について、「この攻撃手法は決して積極的に悪用されることはなかった」と強調している。これは、Appleが情報開示前に修正を完了できたためである。
エクスプロイトの動作原理に関する詳細な技術情報は、Microsoftのウェブサイトで確認できる。
もっと読む
Apple、AIウェアラブル3製品を一気に開発加速か。スマートグラスは2026年末に生産開始の予想
Apple Podcast、ポッドキャスターの収益化に革命。ビデオ広告を自由に挿入可能に
Apple、2月23日に従業員向け新アプリ「Sales Coach」公開へ。AIチャットボットが販売支援
Apple、新Siri「2026年内リリース」を改めて宣言。株価5%急落の翌日に異例の声明
Apple、グラフデータベース企業「Kuzu」を買収。iWorkやFreeformへの統合に期待
新Siri、iOS 26.4から延期か。iOS 26.5や9月のiOS 27まで先送りの可能性
MacBook・iPad供給に暗雲。シャープ工場売却が破談、8月に生産停止へ
Bad BunnyのSuper Bowlハーフタイムショーが記録的反響、Apple Musicで再生7倍・Shazam認識130%増
EU、Apple MapsとApple Adsを「ゲートキーパー」指定せず——Appleに珍しい朗報
iOS 27のApple Health+、搭載直前で縮小との情報。一部機能は今年中に投入か
Apple、50周年に向けて本気出す。Tim Cook「祝賀を約束」、AI活用の新製品カテゴリも予告
Apple、10年続いたTSMC独占体制を終了か。TSMC→Intel”乗り換え”検討か
Apple、AI規制で「プライバシー重視」貫く――OpenAI「大谷翔平の国」発言とは対照的に
Apple「官僚がiPhoneのボタン配置を決めるな」――EU規制を痛烈批判、日本法は評価
AppleのSiri幹部、Googleへ移籍してしまう。AI研究者4人も流出
Tim Cook氏が断言。「これまで見たことのない革新」を今年提供へ
Apple Creator Studio、Instagram公式アカウント開設してた
Gemini版Siri、Private Cloud Computeで動作するってよ。クック船長が決算で言及
Appleが急騰するメモリチップ価格に言及、今後の影響と対策を示唆
