macOSに対する新たな攻撃手法でエンドポイントセキュリティツールの無効化が可能に

macOSの脆弱性を連鎖させ、エンドポイントセキュリティツールを密かに無効化（CVE-2026-39118）

SecurityWeek – June 24, 2026

サイバーセキュリティ企業XM Cyber​​がmacOSへの攻撃手法を実証した。この手法では警告を発生させたり、カーネルエクスプロイトを使用したりすることなく、管理者権限を持たない標準ユーザーアカウントからEDRやMDMエージェントを含む企業向けエンドポイントセキュリティツールを密かに無効化できるという。

検証が不十分なXPC接続の悪用や、アプリケーションのInterface Builder（NIB）ファイルへの有害ペイロード注入など、この攻撃の基盤となる要素の一部は以前からセキュリティ研究者によって公表されており、Appleが部分的に対処してきた。しかし今回の研究で提示されたのは、正規署名されたアプリの実行後にカーネルのコード署名信頼キャッシュが保持される特性を悪用した新たな攻撃チェーン。攻撃者は信頼されたアプリのコンポーネントになりすます不正ペイロードを注入し、特権を必要とするXPCメソッドを密かに呼び出せるようになるそうだ。これはソフトウェアの脆弱性を突くものではなく、macOSの正規の動作を悪用する手法だと同社は指摘した。

この手法はCrowdStrike Falcon Sensor（標準ユーザーアカウントから完全に無効化）やKandji MDM（2段階の攻撃チェーンで恒久的に無効化）に対して実証され、KandjiではエクスプロイトがEDRの保護機能を回避し、システム拡張機能「Endpoint Security Framework」を停止させたとのこと。XM Cyber​​によると、CrowdStrikeはこの問題を迅速に修正し、報奨金の支払いに加えてmacOS用センサーのサポート対象全バージョンに検知・防御機能を実装したようだ。一方のKandjiはパッチを適用し、当該の欠陥にCVE-2026-39118を割り当てたとされる。また、別の企業向けEDRベンダーの製品（名称非公開）も標的となり、パッチの対応が進められているという。

XM Cyber​​の研究者Hillel Pinto氏は、オープンソースの検出ツール「XPC Hunter」を公開する予定。これはすべてのmacOSアプリで悪用可能なXPC特権昇格のアタックサーフェスを自動的に特定するツールで、8月開催のサイバーセキュリティカンファレンス「Black Hat US 2026」で詳細なプレゼンテーションが行われるそうだ。

通信システム障害でドイツ全土の鉄道網が麻痺、正確な原因は依然不明

Security Affairs – June 24, 2026

ドイツ鉄道（DB）の内部通信システムGSM-Rに障害が発生し、国内全域の鉄道網が機能不全に陥ったようだ。

現地時間6月23日午後10時30分、DBは前代未聞の措置を講じ、運行中の全列車を駅に停車させた。DBの長距離列車をはじめ、最も人口の多いノルトライン＝ヴェストファーレン州やベルリン、さらにシュトゥットガルトでも都市鉄道などの全路線が運行を停止したという。

最初の発表から90分以内に障害の原因が特定され、ネットワークは翌24日午前1時までに復旧したとのこと。DBはGSM-Rの全国的な不具合に起因することを認めたものの、正確な技術的原因を突き止めるには至っていない模様。

GSM-Rは2G携帯電話技術を鉄道向けに最適化したもので、運転士と指令センター間の音声・データ通信の標準規格として2000年以降にヨーロッパ全域で導入されてきた。DBはこれを「次世代鉄道移動通信システム（FRMCS）」規格に基づく5Gシステムに入れ替える計画を進めているが、依然としてGSM-Rが運行のすべてを支えているそうだ。

なお、サイバー攻撃や物理的なインフラ損傷の証拠は見つかっていないが、本来多層的な冗長性を備えているべき重要インフラネットワークで今回のような事態が生じたことで、耐障害性に関する疑問が投げかけられることとなった。特にヨーロッパではロシア系アクターの犯行とされる鉄道網への妨害工作が近年に相次いでいることから、耐障害性の改善は死活問題となり得る。ロシアによるウクライナ侵攻が開始して以降、例えば2022年10月末にはデンマーク最大の鉄道運行会社がサイバー攻撃に遭ったほか、2023年8月にもウクライナ支援で重要な役割を果たしているポーランドの鉄道システムが標的にされた。