Critical ExifTool Flaw Lets Malicious Images Trigger Code Execution on macOS
2026/03/09 CyberSecurityNews — macOS システムが本質的にマルウェア耐性を持つという従来の認識が、新たに発見された脆弱性 CVE-2026-3102 により揺らいでいる。Kaspersky の Global Research and Analysis Team (GReAT) は、改竄された画像ファイルを処理するだけで、Mac 上で悪意のコード実行が可能になるという重大な欠陥を特定した。
この問題の中心にあるのは、メタデータの読み取りおよび編集に広く利用されるオープンソースツール ExifTool である。
ExifTool は、多くのデジタル資産管理システム/フォレンジック基盤/メディア処理スクリプトのバックグラウンドで動作するため、それを利用していると認識していないユーザーが、自覚せずに影響を受ける可能性がある。
エクスプロイトによるコード実行のトリガー
この欠陥を突く攻撃者は、画像ファイル内の DateTimeOriginal メタデータ・フィールドに悪意のシェルコマンドを埋め込む。画像自体は通常の写真に見えるが、意図的に不正形式で記述されるメタデータ内に、ペイロードが格納されている。
この脆弱性 CVE-2026-3102 は、改竄された画像メタデータにより発生する Remote Code Execution (RCE) の欠陥である。この脆弱性の影響が及ぶ範囲は、macOS の ExifTool 13.49 以下に限定される。この問題は、Kaspersky GReAT により発見/報告された。
この脆弱性を悪用するためには、二つの条件を乗り越える必要がある。
- 第一に、処理が macOS 上で実行されること。
- 第二に、ExifTool が -n(–printConv)フラグ付きで実行されること。
このモードでは、メタデータが人間可読形式へ変換され、そのまま機械可読データとして出力される。この条件が成立すると、安全検査が回避され、埋め込まれたシェルコマンドが実行される。
現実的なシナリオとして、報道機関やフォレンジック機関が標的型フィッシング・ファイルを受信し、自動システムがメタデータ抽出を実行する際に、不正コマンドが発火する可能性がある。
その結果として、インフォスティーラーやトロイの木馬などの二次ペイロードが取得され、利用者が気付かない状態で端末が侵害される可能性がある。
緩和策
Kaspersky が問題を開示した後に、ExifTool の開発者は迅速にパッチを公開した。組織/個人ユーザーにとって必要なことは、ワークフローの速やかな更新である。ExifTool を 13.50 以降へとアップデートすることに加え、脆弱な旧バージョンがシステムに組み込まれていないことも確認すべきである。
また、不審な画像は分離環境で処理することが望ましい。それに加えて、BYOD 端末を含む全 macOS デバイスに対して、強力なセキュリティ保護を適用する必要がある。
ExifTool は基盤的なオープンソース・コンポーネントであるため、ソフトウェア・サプライチェーンを継続的に監視し、古いサードパーティ・ライブラリを特定/更新すべきである。
macOS で発見された脆弱性 CVE-2026-3102 は、画像ファイルを開くだけでシステムを乗っ取りに至る恐れのあるものです。この問題の原因は、画像のメタデータを処理するオープンソース・ツール ExifTool にあります。具体的には、撮影日時などのデータ欄に埋め込まれた悪意の文字列を、OS への命令コマンドとして実行してしまう不備があります。この脆弱性を悪用する攻撃者は、普通の写真に見えるファイルの内部 (DateTimeOriginalフィールドなど) に、隠しコマンドを仕込みます。この画像がmacOS 上の自動処理システムやフォレンジック・ツールで読み込まれると、ユーザーが気づかないうちにバックドアや情報窃取ウイルスがインストールされてしまいます。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.