ドイツのセキュリティ研究者Linus Henze氏が週末、Appleの「macOS」にゼロデイ脆弱性が存在することを示す動画を公開した。

Henze氏はドイツのテクノロジサイトHeiseとのインタビューのなかで、macOSシステム上でこの脆弱性を悪用したマルウェアを実行すれば、キーチェーンに格納されているパスワードにアクセスできるようになると述べた。キーチェーンは、macOSディストリビューションのすべてに搭載されているパスワード管理システムだ。

このマルウェアはユーザーのキーチェーンファイルからパスワードを取得する際に、管理者権限を必要としないうえ、他のmacOSユーザーのパスワードが格納されている別のキーチェーンファイルの内容も取得できるという。

Henze氏はYouTube動画を公開したのみで、PoC（概念実証）コードは公開していない。しかし2月6日付けのForbesの記事によると、同エクスプロイトが実際に存在し、Heiseのインタビュー記事で語られている通り動作することを、Apple製品に詳しい高名なセキュリティ研究者が確認したという。

Henze氏は、Appleにこの脆弱性を報告することなく動画を公開した。Forbesによると、その主な理由は、Appleのバグ報奨金プログラムが招待制で、「iOS」向けであるためだという。

Henze氏は米ZDNetに対して、自らの発見した脆弱性が報道機関の注目を集め始めた後、5日になってAppleのセキュリティチームから連絡を受けたと述べた。

同氏によると、Appleのセキュリティチームは詳細について尋ねてきたものの、macOSを対象とするバグ報奨金プログラムをAppleが立ち上げ、macOSに潜むバグを発見したセキュリティ研究者らに見返りを与えるようにしない限り、詳細は教えないと回答したという。

同氏は米ZDNetに対し、「私のモチベーションは、Appleに（macOSを対象とした）バグ報奨金プログラムを導入してもらうというものだ。そうすることが、Appleと研究者の双方にとってベストだと私は考えている」と述べた。

「私はApple製品を心から愛しており、よりセキュアになってほしいと考えている。私が考えている最善の方法は、Appleが（他の大手企業が提供しているような）バグ報奨金プログラムを立ち上げるというものだ」（Henze氏）

米ZDNetはAppleにコメントを求めたが、回答は得られていない。

同氏はこのゼロデイ脆弱性を発見し、「KeySteal」と命名した。2017年9月にも、macOSでパスワードが盗まれる恐れのあるキーチェン関連のゼロデイ脆弱性が見つかったと報じられていた。この脆弱性は、Apple製品に関するセキュリティエキスパートPatrick Wardle氏が発見した。Wardle氏は、Forbesの報道でHenze氏が発見したゼロデイ脆弱性について確認した人物でもある。