新規発見のExifTool脆弱性がmacOS上で悪意のある画像を実行可能に
多くのユーザーはmacOSがマルウェアに対して固有の抵抗力があると信じていますが、新たに発見された脆弱性はその考えを覆す可能性があります。Kasperskyのグローバルリサーチおよび分析チーム(GReAT)は、ExifTool内で存在する深刻な脆弱性を特定し、これがCVE-2026-3102として追跡されています。ExifToolは、ファイルのメタデータを抽出および編集するための広く使用されているオープンソースアプリケーションおよびライブラリです。
macOSユーザーが脆弱なバージョンのこのツールを使用して特別に作成された画像を処理すると、システム上で悪意のあるコードが静かに実行される可能性があります。これにより、攻撃者は不正なアクセスを取得します。
脆弱性の詳細
この脆弱性を悪用するには、脅威アクターが怪しい実行可能ファイルやスクリプトを送信する必要はありません。代わりに、彼らは通常の画像のメタデータに悪意のあるシェルコマンドを埋め込むだけです。
- 具体的には、攻撃者は通常、写真が撮影された日付と時間を保存するDateTimeOriginalフィールドを標的とします。
- このデータを誤ってフォーマットし、隠しコマンドを挿入することで、画像自体が武器となります。
ただし、この脆弱性が発動するには、以下の2つの特定の条件が満たされている必要があります。
- ソフトウェアがmacOS上で実行されている。
- ExifToolが-n(または–printConv)フラグを有効にしている。
これらの条件が完全に満たされた場合、ExifToolは隠しシェルコマンドを実行する代わりに、単に日付を読み込むだけです。この脆弱性により、攻撃者はリモートサーバーにアクセスし、インフォステーラーやトロイの木馬などの二次ペイロードを直接被害者のマシンにダウンロードすることができます。
画像が通常通り開き、予想されるビジュアルコンテンツを表示するため、被害者はバックグラウンドで感染が進行していることに気づくことはありません。
実世界の影響とリスク
ExifToolは、デジタルフォレンジック、調査ジャーナリズム、データアナリティクスで広く使用されています。多くのデジタルアセット管理(DAM)システム、フォトオーガナイザー、自動化されたエンタープライズスクリプトの下位エンジンとして機能するため、この広範な採用により、CVE-2026-3102は、大量のメディアを処理する組織にとって深刻な運用リスクとなっています。
標的型攻撃では、通常は無害に見える画像、例えば独占的なニュース写真、法的請求、または医療画像を特定の組織に送信することがあります。その組織の自動化されたカタログシステムがファイルのメタデータを抽出する際に、隠されたペイロードが実行されます。
保護策
macOSユーザーとシステム管理者は、自動ソーティングシステムやフォト管理アプリケーションがExifToolに依存しているかどうかを確認する必要があります。パッチが適用されたバージョンへの更新と、メタデータ処理ワークフローのモニタリングは、悪意のある画像が安全な環境を侵害するのを防ぐための重要なステップです。