セキュリティ研究チーム「Calif」が、AnthropicのAIモデル「Mythos Preview」を活用し、Appleが5年がかりで構築したメモリ保護機構「Memory Integrity Enforcement(MIE)」をわずか5日でバイパスしたと公表しました。Calif自身は「(開発費は)おそらく数十億ドルにものぼるだろう」と推測しています。対象はM5チップ搭載Mac上のmacOS 26.4.1で、M5シリコン上でのカーネルメモリ破壊を成立させた公開エクスプロイトとしては初の事例とされています。Califは、AIの支援によって小規模チームでも今回のような発見が可能になった現状を踏まえ、「我々はまさに、地球上で最高水準の緩和技術が最初のAI bugmageddon(AIによる脆弱性大量発見時代)にどう持ちこたえるかを学ぼうとしている」と表現しており、これから検証される局面に入ったとの見方を示しています。現行のM5 Macユーザーにとっても他人事ではない攻撃手法が示されました。
Appleが5年かけて構築した「MIE」とは何か
MIEは、Appleのハードウェア支援型メモリ安全性システムです。ソースによれば、AppleはArmの「Memory Tagging Extension(MTE、2019年仕様)」を土台にMIEを構築しており、メモリ割り当てごとに「秘密のタグ」を付与し、アクセス時にタグが一致しなければアプリをクラッシュさせる仕組みを持ちます。
メモリ割り当てごとに秘密が付与され、後続のアクセス要求が正しい秘密を含んでいる場合のみハードウェアがアクセスを許可します。秘密が一致しなければアプリがクラッシュし、イベントがログに記録されます。
Appleの説明によれば、MTE単体では特定条件下で十分に頑健ではなかったため、MIEとしてハードウェアとソフトウェアに統合し、iPhone 17およびiPhone Airの全モデルに搭載しました。最近ではM5チップを通じてMacBookにも展開されています。
Calif側の説明では、MIEは「Coruna」や「Darksword」など最近流出した既知のエクスプロイトキットを含め、現代iOSに対する公開済みのエクスプロイトチェーンを軒並み無効化するレベルの緩和策と評価されています。
5日でエクスプロイトが完成するまでの経緯
The Wall Street Journalが先に報じた内容を、Calif自身が補足するかたちで詳細を公開しました。今回のエクスプロイトはmacOS 26.4.1(25E253)を標的とし、kernel MIEが有効なベアメタルのM5ハードウェア上で動作するデータオンリー型のカーネル権限昇格チェーンです。非特権ローカルユーザーから通常のシステムコールのみを使い、最終的にrootシェルを取得します。
開発の流れは以下のとおりです。
| 日付 | 出来事 |
|---|---|
| 4月25日 | Bruce Dang氏が脆弱性を発見 |
| 4月27日 | Dion Blazakis氏がCalifに合流 |
| 5月1日 | Josh Maine氏がツール群(tooling)を構築し、動作するエクスプロイトが完成 |
チームは20秒のカーネルメモリ破壊エクスプロイト動作デモ動画も併せて公開しています。技術詳細をまとめた55ページのレポートも準備済みですが、Appleが修正をリリースするまで公開しない方針です。
AIだけではバイパスできなかった——人間の専門知識が必要だった理由
Califはエクスプロイト発見の経緯について、Mythos Previewが「既知のバグクラスに属する脆弱性を素早く発見した」と説明しています。一方で、MIEのような新規かつ高度な緩和策を自律的にバイパスするのは難しく、ここで人間の専門知識が必要になったと述べています。
Mythos Previewは強力です。あるクラスの問題への攻撃方法を一度学習すれば、そのクラスのほぼあらゆる問題に一般化します。
チームはこの成果について、AIモデルとセキュリティ専門家の組み合わせが、地球上で最高水準の緩和技術に対して1週間でカーネルエクスプロイトを成立させた点に意味があると強調しています。MIEを含む既存の防御策は「Mythos Preview以前の世界」で設計されたものであり、Califは、AIによる脆弱性発見の影響が本格的に試される時代を「最初のAI bugmageddon」と呼び、その耐性がこれから検証されるとの見方を示しました。
なお、本研究の成果としてCalifチームはApple Parkに招かれ、Appleに対して脆弱性レポートを直接共有したことも明かされています。AppleがMIE側でどのような対応・修正を打ち出すかが、今後のmacOS・iOSセキュリティの方向性を占う重要な指標になりそうです。
Mythos Previewの提供体制——Project Glasswingという枠組み
Califが今回活用したMythos Previewは、Anthropicが「Project Glasswing」と呼ばれる枠組みを通じて主要パートナーに提供しているモデルです。Apple、AWS、Microsoft、Google、CrowdStrike、Palo Alto Networksといったテック企業が名を連ねており、加えて40以上の組織にもアクセスが拡張されています。
提供条件と支援規模
- AnthropicはProject Glasswingに対し1億ドル相当のモデル利用クレジットを拠出しています
- 参加者向け料金は入力100万トークンあたり25ドル、出力100万トークンあたり125ドルに設定されています
- 脆弱性開示については業界標準である90日のディスクロージャー期限を採用し、活発に悪用される重大脆弱性には7日でのパッチ・緩和策提供を目標としています
Project Glasswingは、攻撃的能力を持つモデルを限定的に配布しながら、調整型ディスクロージャーの枠組みで悪用リスクを抑える設計となっています。
CalifがApple Parkに招かれ脆弱性レポートを直接持ち込んだ動きも、この枠組みと整合する協調的な対応として位置づけられます。
「Mythos特有の脅威か」をめぐる業界の懐疑——古いモデルでも再現可能との指摘
Mythos Previewのインパクトに対しては、セキュリティ業界内で冷静な検証も進んでいます。CNBCの取材では、Mythosが発見した脆弱性はOpenAIやAnthropicの古いモデルでも検出可能だと複数の研究者が指摘しており、Mythos特有の能力と言えるのかについて疑問が呈されています。
| 検証主体 | 結果 |
|---|---|
| Aisle | 多くの代表的な成果を並列で動かす安価なモデル群で再現可能と報告 |
| curlのDaniel Stenberg氏 | 17万6000行のC コードに対するMythos解析で「確認済み」とされた5件のうち、実際の低重要度脆弱性は1件のみと判定 |
curlのケースが示すように、AIによる脆弱性発見には誤検知や既知挙動の混入という課題も残されています。一方で政策面の反応は速く、トランプ政権は将来モデルに対する新たな政府監督の導入を検討しています。今回のM5 MIE突破は技術的インパクトと同時に、AI支援型セキュリティ研究の評価軸や制度設計の議論を加速させる事例になりそうです。
Q&A
Q. このエクスプロイトはすぐに悪用される危険がありますか? Calif側は55ページの技術レポートをApple修正のリリースまで公開しないとしており、現時点で詳細な再現手順は公開されていません。ただし、攻撃が成立すること自体は20秒のデモ動画で示されています。
Q. iPhoneにも影響しますか? 今回公表されたエクスプロイトはM5搭載Mac上のmacOS 26.4.1を対象としたものです。Apple側はMIEをiPhone 17およびiPhone Airの全モデルにも展開していますが、iOSに対する同様のバイパスが成立したかは明らかにされていません。
Q. 現行のM5 Macユーザーが今取れる対策は? ソースによれば、Califチームは既にApple Parkを訪問し、脆弱性レポートをAppleに直接共有しています。Appleからの修正アップデートが配信され次第、速やかに適用することが現実的な対応となります。
