Apple、iOSデバイスの重大なゼロデイ脆弱性に対処
Appleは最近公開した文書の中で、iOSデバイスに影響を与える2つの重大なゼロデイ脆弱性を発見したと発表しました。これらの脆弱性は、実世界のシナリオで悪用された可能性が高いものです。この発見は、一般ユーザーではなく特定の個人を標的とする高度なサイバー脅威に伴う潜在的なリスクを浮き彫りにしています。
エクスプロイトの性質
これらの脆弱性は、iOSアーキテクチャの奥深くで機能する重要な内部フレームワークであるCoreAudioとRPACに関係しています。Appleは、これらの脆弱性を悪用した攻撃を「極めて高度」と表現し、悪名高いPegasusソフトウェアの事例を彷彿とさせる、過去の標的型スパイウェア攻撃の事例と類似点を指摘しました。
脆弱性の詳細
最初の脆弱性はCVE-2025-31200として特定され、CoreAudioに関連しています。Appleは、「悪意を持って作成されたメディアファイル内のオーディオストリームを処理すると、コードが実行される可能性がある」と説明しています。この問題に対処するため、同社は境界チェックの改善によるメモリ破損管理の強化を中心とした修正を実装しました。
2つ目の脆弱性(CVE-2025-31201)は、低レベルのセキュリティアーキテクチャコンポーネントであるRPACに関連しています。この問題により、アクセス権限を持つ攻撃者は、メモリベースの攻撃から保護するために設計されたポインタ認証メカニズムを回避できました。Appleは脆弱性のあるコードを完全に削除することで対応しており、この脆弱性の深刻さを示しています。
影響と対応
Appleは、絶対に必要な場合を除き、脆弱性の悪用が実際に行われていることを公に認めることは通常控えていることに留意することが重要です。具体的な標的を名指ししたり、詳細な情報を提供したりする際に慎重な姿勢をとっているのは、機密情報を安全に開示できるまで管理するというAppleの方針を反映しています。
これらの発表のタイミング、特に来たる WWDC の直前にアップデートが慎重に展開されたことから、Apple は、再設計されたユーザーインターフェイスや強化された Siri 機能など、iOS 19 で予想される新機能に焦点を移す前に、これらの差し迫ったセキュリティ問題を解決することを目指していたことがうかがえます。
脆弱性の悪用の歴史
この発見は単発の出来事ではありません。Appleデバイスは以前にもステルス型の脆弱性の被害に遭っています。例えば、2021年に発生した悪名高いFORCEDENTRY iMessageの脆弱性は、ユーザーの操作なしにスパイウェアのインストールを可能にし、エコシステムにおける継続的なリスクを浮き彫りにしました。
利用可能なアップデート
Appleは、これらの脆弱性がiOSおよびiPadOSバージョン18.4.1で修正されたことを確認しました。特にiPhone XS以降のモデル、または対応するiPadをお持ちの方は、速やかにこれらのバージョンをインストールすることを強くお勧めします。また、tvOS 18.4.1、macOS Sequoia 15.4.1、VisionOS 2.4.1のアップデートでも修正が提供されています。
コメントを残す ▼