AppleはiOSおよびiPadOS 18.3.1を含む最新のセキュリティアップデートを公開し、積極的に悪用されているゼロデイ脆弱性(CVE-2025-24200)に対応した。この脆弱性はUSB制限モードを無効化し、特定個人を標的とした物理攻撃を可能にするもので、トロント大学シチズンラボのビル・マルチャク氏によって発見された。

対象はiPhone XS以降、各種iPadモデル、Mac、Apple Watch、Apple Vision Proに及ぶ。アップデート後、一部のユーザーからはApple Intelligence機能が再び有効化されたとの報告もあり、設定の確認が推奨されている。

Apple Intelligenceは生成AI技術を活用した通知要約や自動テキスト編集機能を提供するが、プライバシー懸念から批判も相次いでいる。特にニュース要約機能はBBCの指摘を受け無効化された。デバイスの安全性維持と個人情報保護の両立が今後の課題となる。

AppleのUSB制限モードを無効化する新たな脆弱性の実態

今回修正されたゼロデイ脆弱性(CVE-2025-24200)は、Appleが2018年に導入したUSB制限モードを無効化する能力を持つ。このモードは、デバイスが一定期間ロック解除されない場合にUSBデータ通信を遮断し、外部からの物理的なハッキングを防ぐセキュリティ機能である。

しかし、この脆弱性を悪用することで、USB制限モードの保護を回避し、デバイス内部へのアクセスを可能にする。この問題は、特定の個人を標的とした高度な物理攻撃のリスクを増大させるもので、特に機密情報を扱う業界では深刻な懸念を引き起こしている。

発見者であるトロント大学シチズンラボのビル・マルチャク氏は、こうした標的型攻撃の脅威に警鐘を鳴らしており、Appleの迅速な対応が求められた。今回のアップデートはiPhone XS以降のモデルやiPad Pro、Mac、Apple Watch、さらにApple Vision Proといった幅広いデバイスに適用されていることからも、この脆弱性の影響範囲の広さが窺える。

特に企業や政府機関にとって、こうした物理的アクセスを伴う攻撃は従来のソフトウェア攻撃以上に防御が難しく、今後も類似の脆弱性への警戒が必要となる。

Apple Intelligenceの再有効化が示すユーザーのプライバシー懸念

今回のアップデート後、一部のユーザーからApple Intelligence機能が再度有効化されたとの報告が相次いでいる。Apple Intelligenceは生成AI技術を活用し、通知の要約や自動テキスト編集、画像生成といった機能を提供するが、これに対するプライバシー懸念が根強い。

特に企業関係者や機密情報を取り扱うユーザーにとっては、デバイス上での情報処理がどのように行われているのか不透明な部分が多く、不安材料となっている。Appleはこの技術をオプトアウト形式で導入しているが、更新のたびに自動的に再有効化される問題は、ユーザーの意思を軽視しているとの批判を招いている。

特にmacOS Sequoia 15.3.1をインストールした一部のユーザーが、再起動後にウェルカムスクリーンで機能の再有効化に気付いた事例は、セキュリティとプライバシーを重視する層に強い反発を与えた。このような状況は、生成AI技術の普及と共に、透明性とユーザーコントロールの確保が不可欠であることを示唆している。

サイバー攻撃の多様化に対応するAppleの課題と今後の展望

Appleはこれまで、デバイスの物理的セキュリティとソフトウェアの脆弱性対策を強化してきたが、今回のゼロデイ脆弱性やApple Intelligenceを巡る問題は、セキュリティの多層的な課題を浮き彫りにしている。

USB制限モードや非アクティブ再起動機能といった防御策は一定の効果を発揮してきたが、高度な物理攻撃や生成AI技術を介した新たなリスクへの対応は、依然として不十分な部分が残る。特にApple Intelligenceに関するユーザーの不満は、技術革新とプライバシー保護のバランスが難しいことを物語っている。

BBCの批判を受けてニュース要約機能を無効化した事例は、外部からのフィードバックがAppleの方針に影響を与えることを示しており、今後もユーザーの声に耳を傾ける必要があるだろう。また、企業や政府機関など機密性の高いデータを扱う組織に対して、より細やかなカスタマイズ機能や透明性の向上が求められる。

今後、Appleがどのようにしてこれらの課題に対応していくかが注目される。

Source:TechSpot