2月に話題になった脆弱性「CVE-2024-23204」ですが、その危険性とはなんなのでしょう。さまざまなインターネットの脅威を始め、コンピュータウイルスの感染経路など、知識として持っていることで、対策への近道となります。そこで今回は、CVE とは？についてや、特に脆弱性「CVE-2024-23204」について解説していきます。

今回の脆弱性の発表について

現地時間の2024年2月22日Bitdefenderは、「Details on Apple’s Shortcuts Vulnerability（Apple のショートカット脆弱性の詳細）：A Deep Dive into CVE-2024-23204」において、iOS 17.3、iPadOS 17.3、macOS Sonoma 14.3、watchOS 10.3にて修正された脆弱性「CVE-2024-23204」について詳しく解説しており、この脆弱性は潜在的な危険性が高いことが判明しました。

この件に関して、ユーザーは速やかにアップデートして対策することが推奨されると伝えています。

そもそも、CVE とはなんなのでしょうか。まずはこのCVE とは？についてみていきましょう。

CVE とは何なのか？

今回のように、マルウェアの感染や不正アクセス、あるいは機密情報の流出など、セキュリティ上の脅威となる事象（セキュリティインシデント）が発生すると、セキュリティ関連のWebサイトで「CVE」という単語を目にすることがあります。

CVE とは、Common Vulnerabilities and Exposures（共通脆弱性識別子）の略称です。

CVE とは、米国政府の支援を受けた非営利団体のMITRE社が提供している、ソフトウェアの脆弱性を対象とした脆弱性情報データベースのことを指します。CVEではCVE – 登録時点の西暦 – 通し番号の形式で、CVE-IDとして識別番号を振り分けています。

ということで、今回発見された脆弱性「CVE-2024-23204 」は、CVE-ID の構成から、2024年に23204番として登録されたことがわかります。

続いて危険性について見ていきましょう。

脆弱性「CVE-2024-23204」の危険性とは？

この脆弱性は、ショートカットの特定の操作を悪用することができ、ユーザーに選択を求めるシンプルな UI メカニズムを回避してデバイス上の機密情報へアクセスできてしまうというもの。

Apple Shortcuts は、macOS および iOS デバイス用の自動化アプリケーションであり、さまざまなアクションの自動化が容易になるツールです。メッセージの送信などの基本的なタスクから、複数のアプリケーションにまたがる複雑な操作までできてしまいます。この脆弱性により、さまざまな共有プラットフォーム間で悪意のあるショートカットを広めてしまう可能性や、機密データの抜き取りなどこの脆弱性の影響は広範囲にわたってしまいます。

回避方法

Bitdefenderが推奨しているのが、

• iOS、iPadOS、macOS、watchOSを最新バージョンにアップデートする
• 信頼できないソースからショートカットを実行する場合は注意し、実行の必要が生じた場合は実行前に内容を必ず確認することが望ましい
• Appleの提供するセキュリティアップデートとパッチを定期的に確認する

まとめ

CVE とは？と脆弱性「CVE-2024-23204」について解説してきました。Appleユーザーの方は確認して安全を保ちましょう。