セキュリティ

SECURITY

公開：2024-12-20

【CVE-2024-44246】AppleのPrivate Relay機能に脆弱性、Safari Reading List使用時にIPアドレス露出の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• AppleのPrivate Relay機能に脆弱性が発見
• macOS 15.2などの複数のOSで修正アップデート
• Safari Reading List経由でIPアドレスが露出する可能性

AppleのPrivate Relay機能の脆弱性とアップデート対応

Appleは2024年12月11日、Private Relay機能を有効にしている状態でSafari Reading Listにウェブサイトを追加した際にIPアドレスが露出する脆弱性を確認し修正アップデートを公開した。この脆弱性は【CVE-2024-44246】として識別されており、Safari経由のリクエストのルーティングを改善することで対処された。^[1]

本脆弱性の対策として、macOS Sequoia 15.2、iOS 18.2およびiPadOS 18.2、Safari 18.2、iPadOS 17.7.3向けのセキュリティアップデートが提供されている。CISAによる評価では、技術的な影響は部分的であり、自動化された攻撃の可能性は低いとされている。

CVSSスコアは4.3（深刻度：中）と評価されており、攻撃者は特別な権限を必要とせずにネットワーク経由でアクセス可能だが、ユーザーの操作を必要とする脆弱性となっている。本脆弱性による影響は機密性への影響のみで、完全性や可用性への影響は確認されていない。

AppleのPrivate Relay機能の脆弱性詳細

サーバサイドリクエストフォージェリについて

サーバサイドリクエストフォージェリとは、攻撃者が標的となるサーバーに不正なHTTPリクエストを送信させる脆弱性のタイプを指す。主な特徴として、以下のような点が挙げられる。

• サーバーを経由して内部システムへアクセスが可能
• ファイアウォールをバイパスして内部ネットワークを探索
• サーバーの権限を利用した不正アクセスが実行可能

Private Relay機能はユーザーのプライバシーを保護するためにIPアドレスを隠蔽する仕組みだが、今回の脆弱性では特定の条件下でこの保護が迂回される可能性があった。修正パッチの適用によってSafariのリクエストルーティングが改善され、Reading List機能使用時のIPアドレス露出リスクが解消されている。

AppleのPrivate Relay機能の脆弱性に関する考察

Private Relay機能の脆弱性発見は、プライバシー保護機能の重要性と同時にその実装の難しさを浮き彫りにしている。特にSafari Reading Listのような一般的な機能との相互作用で予期せぬ情報漏洩が発生する可能性が示されたことは、セキュリティ設計における重要な教訓となるだろう。今後はプライバシー保護機能と既存機能との連携時における情報の流れを、より慎重に検証する必要がある。

また、本脆弱性の影響度が中程度に留まったことは幸いだが、プライバシー保護機能の不備は個人情報保護の観点から深刻な問題となり得る。今後はプライバシー保護機能の検証プロセスをより強化し、特に機能間の相互作用に焦点を当てた包括的なセキュリティテストの実施が望まれるだろう。

さらに、この事例はプライバシー保護機能の実装における透明性の重要性も示唆している。Private Relay機能の仕組みや制限事項をユーザーにより明確に伝えることで、機能の利用における注意点や潜在的なリスクへの理解を深めることができる。セキュリティとユーザビリティのバランスを保ちながら、より強固なプライバシー保護の実現が期待される。

参考サイト

1. ^ CVE. 「CVE-2024-44246 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-44246, (参照 24-12-20).
2. Apple. https://www.apple.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧