セキュリティ研究チームCalifが、M5チップ搭載Macに対し一般ユーザー権限からrootシェル奪取まで到達するカーネルメモリ破壊エクスプロイトを公開しました。Appleが5年がかりで構築した防御機構「MIE」を、AnthropicのAIモデル「Mythos Preview」と人間の専門家の組み合わせで、わずか5日で突破したとされる初の公開事例です。
なお本件は、本日The Wall Street Journalが、CalifがAnthropicのMythos Previewを用いて「2つのバグと複数の手法を連結し、Macのメモリを破壊して本来アクセス不可能な領域に到達した」と報じたことで明らかになったものです。
Appleが5年かけて構築した防御「MIE」とは
Appleは昨年、ハードウェア支援型のメモリ安全機構「Memory Integrity Enforcement(MIE)」を導入しました。これはArmが2019年に策定した「Memory Tagging Extension(MTE)」を土台にした仕組みで、メモリ確保のたびに秘密のタグを割り当て、後続のアクセスでタグが一致しない場合はアプリをクラッシュさせて記録するというものです。
every memory allocation is tagged with a secret; the hardware guarantees that later requests to access memory are granted only if the request contains the correct secret.
Apple自身も、MTEだけでは特定条件下で十分に堅牢ではないと判断し、MIEを「iPhone 17およびiPhone Airの全モデルのハードウェアとソフトウェアに組み込んだ」と説明しています。Califによれば、同チームの研究上、MIEは最近流出したとされる「Coruna」「Darksword」エクスプロイトキットを含め、現代iOSに対する既知の公開エクスプロイトチェーンをすべて無効化するとされています。
そしてAppleは、このMIEをM5チップを通じてMacBookにも展開したばかりです。
わずか5日で完成した「偶然の発見」
Califによれば、今回のmacOSへの攻撃経路は偶発的な発見だったといいます。タイムラインは以下の通りです。
| 日付 | 出来事 |
|---|---|
| 4月25日 | Bruce Dang氏が、Mythos Previewの支援を受けて脆弱性を発見 |
| 4月27日 | Dion Blazakis氏がCalifに参加 |
| 5月1日 | Josh Maine氏がツールを構築し、動作するエクスプロイトが完成 |
出来上がったのは、macOS 26.4.1(25E253)を対象とした「データオンリーのカーネルローカル権限昇格チェーン」です。一般ユーザー権限から通常のシステムコールのみを用いて開始し、最終的にrootシェルを取得します。
ここで補足しておくと、「カーネルローカル権限昇格チェーン」とは、対象端末にすでにログインしている一般ユーザーが、OS中枢であるカーネルの脆弱性を突いて管理者(root)相当の権限を奪う一連の手口を指します。また「データオンリー攻撃」は、実行コードを書き換えるのではなく、メモリ上のデータ構造だけを巧妙に操作して権限チェックなどを迂回する手法で、MIEのようなコード実行系の防御を回避しやすいとされる類型です。
攻撃対象はカーネルMIEが有効化されたM5ハードウェア上のmacOSで、2つの脆弱性と複数の手法を組み合わせる構成だと説明されています。チームは20秒のカーネルメモリ破壊エクスプロイト動作デモを公開した一方で、55ページに及ぶ技術レポートについてはAppleが修正を提供するまで公開しないとしています。
AI単独では破れなかった——鍵は人間との分業
Califは、Anthropicの「Mythos Preview」が今回のバグ発見とエクスプロイト開発の全過程を支援したと述べています。
Mythos Preview is powerful: once it has learned how to attack a class of problems, it generalizes to nearly any problem in that class.
Mythosは「既知のバグクラス」に属する問題に対しては素早く脆弱性を発見できた一方で、MIEは「現時点で最良クラスの緩和策」であり、これを自律的にバイパスするのは難しいとも認めています。今回の鍵は、強力なAIモデルとセキュリティの専門家を組み合わせた点にあるという主張です。
Landing a kernel memory corruption exploit against the best protections in a week is noteworthy, and says something strong about this pairing.
Califはこの発見によってApple Parkへ招かれ、Appleに対して直接、脆弱性研究レポートを共有したと明かしています。同チームは、現在使われているセキュリティ緩和策の多くが「Mythos Preview以前の世界」で設計されたものであるとし、AIの支援で小規模なチームでもこの種の発見が可能になった今、「地球上で最良の緩和技術が、最初のAI bugmageddon(バグの大殺戮)にどう耐えるかを学ぶことになる」と述べています。
Macユーザーが現時点で取るべきスタンス
現在の対象はmacOS 26.4.1かつM5ハードウェアという限定的な条件であり、攻撃を成立させるには対象端末上で一般ユーザー権限を持っている必要があります。リモートからのワンクリック攻撃のようなシナリオではない点は冷静に押さえておきたい部分です。
一方で、Appleが5年をかけて構築した防御がAI支援によって短期間で破られた事実は、AI時代の攻防において防御側にも大きな構造変化が迫っていることを示しています。技術レポートはApple側の修正提供まで公開されない方針のため、続報を注視し、AppleからmacOSアップデートが配信され次第、対象環境では速やかに適用してください。
Mythosと「Project Glasswing」——限定提供の背景
今回macOSへの攻撃に用いられたMythos Previewは、Anthropicが4月7日に発表した新世代モデルで、Opus 4.6比で数学、長文推論、ソフトウェア工学、サイバーセキュリティで大幅な性能向上が報告されています。Anthropicはこの能力の高さゆえに一般公開を見送り、業界連合「Project Glasswing」を通じて限定提供しています。
提供範囲と料金
- 参加企業にはApple、Amazon、JPMorgan Chase、Palo Alto Networksなどが含まれ、Project Glasswingを通じて約40の追加組織にもアクセス権が付与されています
- 研究プレビュー後の料金は入力100万トークンあたり25ドル、出力125ドルに設定されています
- 事前評価では全主要OSと全主要ブラウザにわたって数千件のゼロデイ脆弱性を発見し、OpenBSDでは27年前の脆弱性まで掘り起こしています
今回のCalifによるmacOS突破は、こうした限定提供の枠組みの中で生まれた成果の一つに位置づけられます。
「Mythosでなくてもできる」——専門家からの異論と防御側のギャップ
Mythosの能力を過大評価すべきでないという指摘も広がっています。CNBCの取材では、Mythosが発見した脆弱性の多くは「オーケストレーション」と呼ぶ手法で旧モデルからも再現可能だったと専門家が指摘しています。
安価なモデルを並列実行することで、Mythosの主要成果の多くは再現可能です。
これはAisle社の見解で、最新モデルそのものよりも規模と協調の方が重要だと示唆されています。防御側の体制にも課題が残っています。ホワイトハウスはMythosへのアクセスを約70社・組織へ拡大する計画を却下しており、CrowdStrikeによればAI利用主体による攻撃は2025年に前年比89%増加しています。英AISIの評価でも、Mythos Previewは防御の弱いシステムには攻撃可能な一方、十分に防御されたシステムへの攻撃可否は未検証とされており、攻撃側に偏った初期優位をどう埋めるかが論点になっています。
Q&A
Q. 今回のエクスプロイトは一般のMacユーザーにも影響しますか? 対象はM5チップ搭載かつmacOS 26.4.1(25E253)の環境で、攻撃には端末上の一般ユーザー権限が必要なローカル権限昇格チェーンです。ネットワーク越しに無条件で乗っ取られる類のものではありませんが、Appleが修正を配信した際は速やかに適用することが推奨されます。
Q. Mythos PreviewというAIだけで脆弱性が見つけられたのですか? いいえ。Calif自身が、Mythos Previewはバグ発見と開発全体を支援したものの、MIEの自律的なバイパスは難しく、人間の専門家による知見と組み合わせて初めて成立したと説明しています。AIが単独で完結したわけではない点が、今回の事例のポイントです。
Q. 55ページの技術レポートはどこで読めますか? Califは、Appleが修正を提供するまで詳細なレポートを公開しない方針を示しています。現時点で公表されているのは概要と20秒のデモ動画にとどまります。
