MicrosoftはmacOSにおける深刻な脆弱性を発表しました。この脆弱性は、悪意のあるアプリがシステムのプライバシー保護を迂回する可能性があるということです。この脆弱性は「SploitLight」と名付けられ、Spotlightがプラグインデータをインデックス化する方法を悪用し、機密ファイルやAppleインテリジェンスメタデータにアクセスする可能性があるとしています。Appleはこの問題を3月にmacOSで修正しましたが、古いバージョンを使用しているユーザーは依然としてリスクにさらされる可能性があるとしています。
Microsoftはこの脆弱性を発見し、Appleに警告を行った結果、今年初めに修正が行われました。Microsoftのセキュリティブログによりますと、Microsoftの脅威インテリジェンスチームは、通常は透明性、同意、制御(TCC)によって保護されているファイル、例えばダウンロードフォルダ内のファイルやAppleインテリジェンスが利用するキャッシュなどの機密データを攻撃者が盗む可能性があるmacOSの脆弱性を発見したということです。
この脆弱性は、以前のTCCバイパスである「HM-Surf」や「powerdir」と類似していますが、Spotlightプラグインを利用することでAppleインテリジェンスがキャッシュする機密情報、例えば正確な位置情報、写真やビデオのメタデータ、顔や人物認識データ、検索履歴やユーザーの好みなどを抽出し漏洩させる能力があるため、より深刻であるとしています。
また、このリスクはiCloudアカウント間のリモートリンク機能によってさらに複雑化し、悪意のある攻撃者がユーザーのmacOSデバイスにアクセスした場合、同じiCloudアカウントにリンクされた他のデバイスのリモート情報を特定するためにも利用される可能性があるということです。
現在、この修正が数ヶ月前に行われたことを受けて、Microsoftは発見した「SploitLight」の詳細を明らかにしています。Microsoftは、3月末に提供された修正を指摘しています。
Appleは、この脆弱性に対する修正を、2025年3月31日にリリースされたmacOS Sequoiaのセキュリティアップデートの一環として提供しました。この脆弱性はCVE-2025-31199として特定されており、Appleのセキュリティチームの協力に感謝するとともに、macOSユーザーに対して、これらのセキュリティアップデートをできるだけ早く適用するよう呼びかけています。
ユーザーは、この脆弱性から保護されるために、macOSを最新バージョンに更新することが推奨されています。Microsoftは、研究記事において技術的な詳細と、実際にこの脆弱性がどのように動作するかのデモを提供しています。