「社内Mac開発者がVMware Fusionを使っているが、CVE-2026-41702の権限昇格脆弱性をEDRログでどう見て、JAMF経由で26H1にどう一気に上げればいいのか」――2026年5月14日公開のVMSA-2026-0003を受け、Macを扱う情シス・SOC現場からこうした声が上がっています。
本記事はMac開発端末を抱える社内SE・社内SOC・中小~準大企業の情シス向けに、Macエンドポイント検知とMDM配信ガバナンスの2軸でまとめます。EDR各社のMacエージェントが見ているもの、JAMF Pro / Mosyle / Kandjiでの26H1一括配信、Endpoint Security framework経由のSIEM相関ルールまで、明日から手が動かせる粒度で解説します。姉妹サイトCloudMasters.TOKYOでは同じCVEを「クラウド移行検証ラボとAWS WorkSpaces代替・Terraform IaC」軸で別途まとめており、補完関係です。
CVE-2026-41702の概要とMac開発端末のセキュリティ影響
CVE-2026-41702はmacOS版VMware FusionのSETUIDバイナリ実行中にTOCTOU(Time-of-check Time-of-use)競合が発生する脆弱性です。ローカル非管理者ユーザーが検査と使用の隙間でファイル参照を差し替えてroot昇格を実現できます。
CVE情報と深刻度
・CVE番号: CVE-2026-41702
・CVSSv3.1(VMware/CNA採点): 7.8(HIGH)
・ベクター: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
・NIST再評価: 7.0(HIGH、AC:H で攻撃難度を高く採点)
・CWE: CWE-367(Time-of-check Time-of-use Race Condition)
・Broadcom Advisory: VMSA-2026-0003
・公開日: 2026年5月15日
CVSS 7.8は「HIGH」帯です。攻撃元ローカル(AV:L)、攻撃難度低(AC:L)、必要特権ローカルユーザー(PR:L)、ユーザー操作不要(UI:N)、機密性・完全性・可用性すべてに高影響。NVDがAC:Hと再評価しているのは、TOCTOU競合の成立窓が短く再現性に揺れがあるためです。それでもroot昇格が成立する時点で、開発端末の防衛戦線として最大級の脅威と捉える必要があります。
なぜ「Mac開発端末のroot」が組織にとって重大なのか
Mac開発端末は組織の知財と本番環境につながる橋頭堡です。root権限を取得された瞬間、次の資産が露出します。
・SSH秘密鍵: ~/.ssh/id_ed25519 等が読み取られ本番Linuxへ横展開
・クラウド認証情報: ~/.aws/credentials / gcloud / Azure CLIのトークン
・Keychainダンプ: login.keychainからSlack / GitHub / 1Password等のトークン抽出
・ソースコード: Git LFSキャッシュ・未push branchを丸ごとexfil
・Docker socket乗っ取り: /var/run/docker.sockから任意コンテナ生成
VMware Fusionのローカルbridged VMは社内VLAN直結が多く、VM経由の社内偵察にも転用されます。Mac1台の問題ではなく、その先のクラウド・本番Linux・SaaS・ソースコード資産が連鎖露出する構図です。
影響バージョンと修正版
| 区分 | バージョン | 状態 |
|---|---|---|
| 影響あり | VMware Fusion 25H2以前のすべて | パッチ非提供(Workaroundなし) |
| 修正版 | VMware Fusion 26H1(2026年5月14日公開) | 26H1へのアップグレード一択 |
Workaroundは提供されず、26H1更新が唯一の根本対策です。Broadcomは「Important」レーティングで、Mac開発者全員に1~2週間以内の適用を推奨しています。
EDR各社のMac対応とローカル仮想化検知ルール
EDR(Endpoint Detection and Response)製品のmacOS対応は2024年以降に大幅強化されました。VMware FusionのSETUIDバイナリ実行を各社Macエージェントがどう拾うかを整理します。
Microsoft Defender for Endpoint for Mac
Endpoint Security framework(ESF)経由のカーネル外センサーで、`ES_EVENT_TYPE_NOTIFY_EXEC`や`ES_EVENT_TYPE_NOTIFY_RENAME`を購読し、SETUIDバイナリ起動と直後のファイル差し替え操作を時系列で記録します。Advanced HuntingのKQLで追跡できます。
// VMware FusionのSETUIDバイナリ起動を追跡 DeviceProcessEvents | where DeviceType == "Mac" | where FileName endswith ".vmware-vmx" or FolderPath contains "/VMware Fusion.app/" | where InitiatingProcessFileName != "vmware-fusion" | project Timestamp, DeviceName, AccountName, FileName, FolderPath, ProcessCommandLine
「VMware Fusion自身ではないプロセス」がVMware Fusion配下のSETUIDバイナリを起動した場合に検知ヒットします。TOCTOU攻撃の典型ロジックです。
CrowdStrike Falcon for Mac
ESF経由で動き、Process Treeの可視化が強み。Falcon Insightで`event_simpleName=ProcessRollup2 ImageFileName=”*vmware-vmx*”`を検索すると親系統樹がツリー表示されます。SETUIDバイナリの異常な親プロセス(zsh / Python等)起動はそのまま不審スコアが上がります。MITRE ATT&CK for macOSのT1548.003 / T1543.004にマップした検知ルールを標準提供し、TOCTOU悪用後のpersistence段階でも別系統の検知が回ります。
SentinelOne for Mac
Static AI + Behavioral AIをオンデバイスで動かす設計で、クラウド非接続時も検知継続。出張先で防御が動く点は重要です。Storyline機能はSETUIDバイナリ実行・ファイル差し替え・root取得・Keychainアクセスを一連の攻撃ストーリーとして可視化し、アナリストはストーリー単位で対応判断できます。
Jamf Protect
macOS専業EDRで、ESF APIをフル活用しMITRE ATT&CK for macOS分類の検知ルールを提供。Jamf Pro MDMと密結合し、検知時にRemote Lock / ローカルアカウント無効化 / 強制再起動をワンクリック実行できます。Mac専業ならではの統合UXが運用負荷を下げます。
4製品の比較
| 製品 | 強み | 弱み | 向く組織 |
|---|---|---|---|
| Microsoft Defender for Endpoint | Microsoft 365との統合・KQL自由度 | macOS固有の検知ルール数で他3社にやや劣る | M365 E5前提の組織 |
| CrowdStrike Falcon | プロセス系統樹の可視化・脅威インテリジェンス連携 | クラウド前提・オフライン弱め | 大規模SOC・24時間監視 |
| SentinelOne | オンデバイスAI・Storyline自動化 | KQL的な自由検索が弱い | SOC人員少・自動対応志向 |
| Jamf Protect | Mac専業・Jamf Pro統合 | Windows/Linuxは別製品が必要 | Mac比率が高い組織 |
どの製品でも「SETUID異常親プロセス起動」「Fusion配下ファイルの他プロセス書換」「root取得直後のKeychainアクセス」の3パターンを押さえれば、CVE-2026-41702のTOCTOU悪用は検知可能です。EDR未導入のMacがあるならJamf ProtectかMicrosoft Defenderを今月中に展開してください。
JAMF/Mosyle/Kandji経由でのVMware Fusion 26H1配信運用
CVE対応の最重要事項は「全Mac開発端末を漏れなく26H1に上げる」こと。手動更新では半数以上が3週間放置される実績があります。MDMで強制配信する経路を3製品の最短手順で示します。
JAMF Pro での配信
JAMF Proはエンタープライズの定番。手順は4ステップです。
・1. Packagesにpkgアップロード: Broadcom公式から`VMware-Fusion-26.1.0.pkg`をDL→Composer再パッケージ→JAMF Admin経由でDistribution Pointsへ
・2. Smart Computer Group抽出: `Application Bundle ID is com.vmware.fusion` AND `Application Version is less than 26.1.0`
・3. Policy配信: Trigger=Recurring Check-in、Scope=Smart Computer Group、Self Service併用、Restart Options「通知後5分で再起動」
・4. 通知: User Interaction → Message Subject「VMware Fusionセキュリティ更新」
Smart Computer Groupで該当バージョン端末が消えるまで対象が自動縮小し進捗が可視化されます。Self Service併用で業務影響を最小化しつつ期日までに全数適用できます。
Mosyle での配信
中小~中堅で人気のMDM。ApplicationsカタログにVMware Fusionが標準登録され、`Auto-update enabled`を有効化するだけで最新版(26H1)が自動配信されます。Smart Filtersで「Application Version less than 26.1.0」を抽出しPush Notificationで強制再起動を促す運用が定着。JAMF Proよりコスト低、情シス1~2名でも回せます。
Kandji での配信
Auto Appsは特に運用負荷が低い設計。「VMware Fusion」をカタログ選択するだけでBroadcom公式リリースをKandjiが監視し最新版を配信し続けます。Enforcement Delay設定で「公開3日後に強制適用」等の猶予を持たせユーザー作業中の強制再起動を回避できます。情シス1名体制のSaaS系スタートアップ・中小企業に向きます。
3製品の選定ポイント
| MDM | 強み | 向く組織規模 |
|---|---|---|
| JAMF Pro | カスタマイズ自由度・Smart Group・Jamf Protect連携 | 200台以上・専任Mac管理者あり |
| Mosyle | 低コスト・標準カタログ充実 | 50~300台・情シス兼任 |
| Kandji | Auto Apps自動追従・運用最小 | 30~200台・情シス1名 |
どの製品でも「適用前のローカルVMバックアップ」「適用後の動作確認」の2手順を必ず運用に組み込んでください。メジャー更新ではまれに既存.vmxの互換性問題が出ます。インシデントレスポンス 第3版(Amazon)※PRはWindows/macOS両対応のインシデント対応手順を体系的にまとめた定番書です。
Endpoint Security frameworkログのSIEM相関ルール
EDR検知に加え、自前ログ収集とSIEM相関ルール運用は、コスト最適化と独自検知ロジックの両面で価値があります。代表的なログソースとSIEM取込み方を示します。
Endpoint Security framework のJSON抽出
macOS 13以降の`eslogger`コマンドで指定イベントをJSON-Lines出力できます。
# SETUIDバイナリの実行イベントをJSON出力 sudo eslogger exec rename setuid \ --output /var/log/esf-events.jsonl \ --format json
このログをFluentBit / Vector / OSquery経由でSIEM(Splunk / Sentinel / Elastic)に吸わせます。
OSquery によるプロセス系統取得
OSqueryの`process_events`テーブルでESFとOpenBSMを横断利用できます。
# vmware関連プロセスの親子関係を抽出 SELECT pid, parent, path, cmdline, uid, euid FROM process_events WHERE path LIKE '%VMware Fusion.app%' AND euid = 0 AND uid != 0;
非root(uid!=0)が実効root(euid=0)に昇格するケースを抽出。VMware Fusion UI未起動でvmware-vmxが動いている場合はTOCTOU悪用の疑いです。
SIEM相関ルール例(Splunk SPL)
# 30秒以内にSETUID実行→Keychainアクセスを連続検知 index=esf event_type=exec process_path="*vmware-vmx*" | join host, _time [ search index=esf event_type=open file_path="*login.keychain*" earliest=-30s ] | where uid_initial != 0 AND euid_final = 0 | table _time, host, user, process_path, file_path
「SETUIDバイナリ実行から30秒以内のKeychainアクセス」「初期uid=非root、終了euid=root」を満たすシーケンスを抽出します。CVE-2026-41702でroot取得後すぐKeychain抽出に進む典型攻撃ストーリーに合致します。
SIEMに乗せる場合の容量目安
Mac1台あたりESFイベントは1日10~30MB。100台規模で月60~90GB、Splunk/Sentinel Ingestで月数万円~十数万円のオーダーです。`exec` `rename` `setuid` `open(keychain)` の4種に絞れば容量は半減します。
インシデント発生時の初動とフォレンジック手順
EDR/SIEM検知ヒット、または不審通信アラート発生時の初動手順を示します。
初動5ステップ
・1(5分以内): 当該Macをネットワーク隔離(VPN切断 / MDM Remote Lock)
・2(15分以内): インシデント管理ツールでチーム招集
・3(30分以内): 利用者ヒアリング(Fusion操作・出張先Wi-Fi・不審メール開封歴)
・4(1時間以内): EDRから直近48時間のプロセス起動・ファイル操作履歴エクスポート
・5(2時間以内): SSH秘密鍵・クラウド認証情報のローテーション着手(被害確定前でも先行)
ステップ5の認証情報ローテーションは被害確定を待たず先行で動くことが重要。被害確定まで半日かかる間にlateral movementが進むケースが頻発しています。
フォレンジック取得項目
・システムログ: `sudo log collect –output ~/mac-logs.logarchive`
・Fusion関連: `sudo log show –predicate ‘subsystem CONTAINS “vmware”‘ –last 7d`
・SETUID変更履歴: `sudo find / -perm -4000 -type f -newermt “7 days ago”`
・ファイル変更: `sudo fs_usage -w -f filesys` でリアルタイムキャプチャ
・物理イメージ: Target Disk Mode起動→Cellebrite / SUMURI Reconでdd取得
揮発情報(メモリダンプ・プロセス一覧・接続一覧)は`sudo /usr/sbin/sysdiagnose -f ~/sysdiagnose/`で先に一括出力できます。
復旧と再発防止
被害確定Macは原則工場初期化+OS再インストールを推奨。SIP / Keychain整合性が崩れた可能性があり、部分修復ではroot永続化(Launch Daemon / Login Item)を見落とすリスクがあります。再発防止は次の3点を重ねます。
・26H1強制適用ポリシー継続: MDMで非適用端末を業務NWから自動隔離
・EDR検知ルール強化: ESF経由のSETUID異常起動を高優先度アラートに昇格
・開発端末の権限分離: 本番SSH鍵を開発用Macに置かない・踏み台経由必須化
Macフォレンジック未経験のチームには詳解 インシデントレスポンス(Amazon)※PRがログ解析・メモリフォレンジック・ディスクフォレンジックの実践手順を体系的に解説しています。
よくある質問(FAQ)
Q1. 個人開発でVMware Fusionを使っている場合も26H1に上げるべきですか?
A. 個人利用でも26H1更新を推奨します。1人利用でも悪意あるDLファイル経由でローカル実行されるシナリオがあり得るためです。Broadcom公式から26H1をDLして適用してください。
Q2. VMware Fusion 25H2を一時的に使い続ける必要があります。Workaroundはありますか?
A. Broadcomは2026年5月20日時点でWorkaroundを公開していません。やむを得ず継続使用する場合は、(1)開発者以外のローカルアカウントを作らない、(2)Keychainに本番認証情報を置かない、(3)EDR監視強化、の3点を徹底。残存リスクは大きく26H1更新を最優先で進めてください。
Q3. EDRを入れていないMacが社内にあります。どこから手をつけるべきですか?
A. VMware Fusion搭載Macから優先展開します。30台以下ならJamf Protect、それ以上ならMicrosoft Defender for Endpoint(M365 E5契約なら追加コストなし)が現実解。MDMがあれば必ずMDM経由で配信してください。
Q4. JAMF Proがありません。手動でVMware Fusionを26H1に上げる場合の段取りは?
A. 10台以下ならSlackやメールで「3日以内に26H1に上げる旨」を周知し各自適用。確認は`VMware Fusion → About VMware Fusion`でバージョン「26.1.0」以上のスクショ提出運用が現実的です。MDM導入は中期課題として並行検討してください。
Q5. ローカルVMで稼働中のLinuxにも影響しますか?
A. VM内Linux自体には影響しません。CVE-2026-41702はMacホスト側のSETUID実行で発生する競合です。ただしホストでroot取得されるとVMスナップショット改竄やVM内部侵入も可能となり、結果的にVM内Linuxの安全性も失われます。ホスト側26H1適用を最優先で進めてください。
Q6. CrowdStrike Falconを使っています。VMware Fusion関連の検知ルールはすでに入っていますか?
A. CrowdStrikeはCVE公開後72時間以内にIOA(Indicator of Attack)ルールを更新する運用です。Falcon管理コンソールで`Configuration → Prevention Policies`を開き、macOS用ポリシーの「Suspicious Process Execution」「Privilege Escalation」を確認してください。標準ポリシーでもベース検知は走りますが、自社向けカスタムルール追加も可能です。
Q7. SentinelOneで誤検知が出た場合の調整方法は?
A. SentinelOne管理コンソールの`Exclusions`機能で特定パス・ハッシュ・署名証明書を例外登録できます。26H1は新証明書を含むため25H2からアップグレード直後に一時的Alertが出ます。リリースノートで証明書情報を確認しExclusionsに登録してください。
本記事のまとめ
CVE-2026-41702はMac開発端末からroot権限を奪われる深刻な権限昇格脆弱性です。悪用後はSSH秘密鍵・クラウド認証情報・Keychain・ソースコードまで露出し、lateral movementで本番Linuxや社内VLANに到達するシナリオが現実的です。
対応は26H1更新一択。JAMF Pro / Mosyle / Kandjiでまとめ配信し進捗を可視化してください。検知面ではMicrosoft Defender / CrowdStrike Falcon / SentinelOne / Jamf ProtectいずれかのMacエージェントを展開し、ESF経由のSETUID異常起動と直後のKeychainアクセスを高優先度アラートに昇格させましょう。eslogger/OSqueryからSplunk/SentinelへのSIEM相関ルールも組み合わせると、EDRが見落とすパターンも捕捉できます。
クラウド移行検証ラボ視点でのVMware Fusion代替戦略はCloudMasters.TOKYOの同テーマ記事もご参照ください。
Macエンドポイントセキュリティを体系的に学ぶ
EDR運用・MDM配信ガバナンス・SIEM相関ルール設計まで、現場で使えるセキュリティノウハウをメルマガでお届けしています。
