米マイクロソフトの脅威インテリジェンスチームは先日、macOSのSpotlight機能に関連する重大な脆弱性「Sploitlight」を発見したと発表しました。この脆弱性は、攻撃者がユーザーの機密性の高い個人情報を盗み出すことを可能にするものでしたが、幸いにも既にアップルによって修正されています。

「Sploitlight」は、アップルのセキュリティ機能であるTCC（Transparency, Consent, and Control）をバイパスする手口を用いていました。TCCは、ユーザーの同意なしにアプリケーションが個人情報にアクセスするのを防ぐために設計されています。しかし、この脆弱性を悪用されると、アップルのAI機能「Apple Intelligence」によってキャッシュされた機密情報が流出する恐れがありました。

具体的には、正確な位置情報、写真や動画のメタデータ、写真ライブラリからの顔認識データ、検索履歴、AIによるメール要約、ユーザー設定など、多岐にわたる個人情報が危険にさらされる可能性があったといいます。マイクロソフトの研究者たちは、Spotlightが読み込むアプリケーションバンドルを巧妙に改変することで、サンドボックス化されているはずのSpotlightプラグインを介してファイルの内容を漏洩させる方法を見つけ出しました。

マイクロソフトはこの脆弱性の詳細をアップルに共有。アップルは迅速に対応し、3月31日に公開されたmacOS 15.4およびiOS 15.4のアップデートでこの問題に対処しました。アップルのセキュリティサポート文書によると、「データ編集の改善」を通じて脆弱性が修正されたとのことです。

この脆弱性は、公表される前にアップルが修正したため、実際に悪用されたケースは確認されていません。今回の修正では、マイクロソフトが発見したこの脆弱性のほか、2つの関連する脆弱性も同時に修正されたとされています。ユーザーは、OSを最新バージョンにアップデートすることで、これらの脅威から保護されます。