Anthropicの最先端人工知能(AI)モデル「クロード・ミトス」が、鉄壁のセキュリティで知られるアップルのオペレーティングシステム(OS)を5日で突破したことが分かった。
ウォール・ストリート・ジャーナル(WSJ)は14日(現地時間)、米国のセキュリティ研究企業「カリフ」の研究員らがミトスを活用し、macOSの中核的なセキュリティ体制を迂回することに成功したと報じた。研究員らはmacOSのシステムメモリを損傷させた後、本来はセキュリティ上アクセスできなかった機器の内部装置にアクセスする方法を見つけ出した。
これはいわゆる「権限昇格(privilege escalation)攻撃」であり、他の攻撃手法と組み合わせれば、一般ユーザー権限でもシステム管理者レベルの統制権を奪取できるようになる。
アップルは昨年9月、ハードウェアとオペレーティングシステム(OS)の能力を結合し、セキュリティ性能を大幅に改善した「メモリ無欠性強化(MIE)」技術を公開した。当時アップルはこれを「5年にわたる前例のない設計とエンジニアリング努力の結実」と紹介した。カリフ側は、ミトスを活用してmacOSの脆弱性を攻略するコードを作成するのにわずか5日しかかからなかったと明らかにした。
ただしカリフは、今回の攻撃がミトスだけで可能だったわけではないと強調した。タイ・ズオンカリフ最高経営責任者(CEO)は「攻撃コードの開発にはカリフ所属の専門家による分析と判断が活用された」と述べ、「ミトスは既に文書化された攻撃を再現する点では非常に優れているが、まったく新しい攻撃手法を自ら生み出すことはできない」と語った。
しかし専門家らは、ミトスがアップルが数年かけて構築した最新のセキュリティシステムを比較的短期間で無力化した点を懸念している。グーグル出身のセキュリティ研究員ミハウ・ザレフスキは「アップルがmacOSのセキュリティに莫大な努力を注いできた点から、今回の手法は注目に値する」と評価した。
アップルは今回の研究結果を詳細に記した55ページの報告書を検討中である。アップル側はWSJに「セキュリティは最優先課題であり、潜在的な脆弱性に関する報告を深刻に受け止めている」と明らかにした。アップルは同時に、最先端AIモデルを活用して脆弱性を探索しパッチを当てる作業も進めている。
Anthropicが先月公開したミトスは、ソフトウェアのセキュリティ脆弱性の探索能力に優れたAIモデルである。Anthropicは、ミトスがハッキングなどに悪用され得るという理由から、ミトスを厳選された企業のみに公開する形でアクセス権限を制限した。