HOME ≫ ＦＦＲＩセキュリティ BLOG ≫ 2025年 ≫ 2025年7月 ≫ 弊社リサーチエンジニアの中川がNullconに登壇します！

弊社リサーチエンジニアの中川がNullconに登壇します！

弊社リサーチエンジニアの中川恒が、セキュリティカンファレンス「Nullcon」に採択されました。2025年9月4日～5日にかけてドイツのベルリンで開催されるメインカンファレンスにて研究結果を発表します。なお、中川は、今年8月に開催される「Black Hat USA 2025」の他、「Black Hat EU 2020」、「Black Hat Asia 2023」「CODE BLUE 2023」に採択された経歴を持ちます。

Nullcon について

Nullcon は、2010年にインドで創設されたアジア最大級の国際情報セキュリティカンファレンスであり、サイバーセキュリティ分野の最新動向や研究成果を共有するための重要な会議となっています。主にインド・ゴアで開催され、近年はインド・ハイデラバードやドイツのベルリンでも開催されています。

研究タイトル

Why Is Process Isolation Indispensable? Stealing All macOS Sensitive Info with a Single Vulnerability

研究内容とその背景

近年、macOSのマーケットシェアは着実に拡大しており、個人ユーザーだけでなく企業環境での採用も増加しています。近年「Choose Your Own Device (CYOD)」の形式で、企業が従業員に提供する端末の選択肢としてmacOSを提案するケースが増えています。この普及に伴い、攻撃者もmacOSを標的とした攻撃手法の開発に注力するようになりました。かつてはWindows環境が主な攻撃対象でしたが、macOSのビジネス環境での存在感が高まるにつれ、そのセキュリティに対する関心も高まっています。

macOSでは「System Integrity Protection（SIP）」と呼ばれる保護機能により、異なるプログラム同士が互いの情報を見ることができないよう厳格に管理されています。管理者権限（root権限）を持っていても、特別な権限 (コード署名に含まれる entitlements によって管理される) がない限り他のプログラムのメモリ内容を見ることはできません。これは「プロセス間隔離」と呼ばれ、macOSのセキュリティ・プライバシー保護機構の基盤となっています。
本発表ではこのプロセス間隔離を破る脆弱性について解説します。この脆弱性を悪用することで、macOS標準のパスワードマネージャーであるKeychainやプライバシー保護機構のTCCをバイパスすることが可能になります。最も驚くべきは、このような深刻な脆弱性がAppleの基本的なミスから生じており、比較的単純なコードで悪用できる点です。

Nullconでの発表では、この脆弱性の詳細と実際のデモンストレーションを行い、プロセス分離がmacOSの安全性にとって重要である理由を解説します。また、このような攻撃を検出する方法についても説明します。

研究の詳細は Nullcon 開催後、弊社 Web ページでも掲載予定です。

2025-07-14