Kaspersky Labは5月20日(現地時間)、「How a single image takes control of a Mac|Securelist」において、画像ファイルに含まれるExif情報を操作するツール「ExifTool」から重大な脆弱性が発見されたと報じた。

この脆弱性は2月、Kasperskyのグローバル調査分析チーム(GReAT: Global Research and Analysis Team)により発見され、開発者により同月中に修正されたという。

  • 「ExifTool」の脆弱性は、画像ファイル経由で悪用される可能性がある

    「ExifTool」の脆弱性は、画像ファイル経由で悪用される可能性がある

「ExifTool」に任意コード実行の脆弱性

脆弱性の情報(CVE)は次のとおり。

  • CVE-2026-3102 - macOS向けのExifToolにコマンドインジェクションの脆弱性。リモートの攻撃者は、細工した画像ファイルを開かせることで任意のコマンドを実行できる可能性がある(CVSSスコア: 8.8)

影響を受けるバージョンと修正版

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • ExifTool 13.49およびこれ以前のバージョン

脆弱性を修正したとされる製品およびバージョンは次のとおり。

  • ExifTool 13.50およびこれ以降のバージョン

関連アプリや業務ワークフローにも影響の可能性

Exif(Exchangeable Image File Format)は、写真の撮影場所や時刻などのメタデータ(情報)を画像ファイルに埋め込むためのデジタルカメラ向けデータ規格。標準フォーマットとして世界中のカメラメーカー(スマートフォンを含む)が採用している。

この脆弱性はmacOS向けのExifツール「ExifTool」から発見された。脆弱性の悪用にはコマンドラインオプション「-n(-printConv)」の指定が必要だが、特別なユーザー操作は必要ないとされる。

画像ファイルを開くだけで侵害される可能性

細工された画像ファイルを開くだけで侵害される可能性があるという。

攻撃者は画像ファイルに埋め込まれたExifデータの「日付」を改ざんすることで、「日付をファイルの作成日時に設定する処理」にコマンドを割り込ませることができる。このツールおよび前述の処理は、他のアプリやワークフローに組み込まれていることがあり、直接コマンドを操作していなくても侵害される可能性があるという。

  • 問題のコード - 引用:Kaspersky Lab

    問題のコード - 引用:Kaspersky Lab

Kaspersky Labはこの脆弱性の影響を回避するため、ExifToolのアップデートに加え、当該ツールを利用しているアプリやワークフローを調査するよう推奨している。

特に、企業の業務ワークフローに組み込まれている場合、請負業者を含めて広範囲に影響が及ぶ可能性があるとして、セキュリティ担当者に調査の実施を呼びかけている。