Appleは、同社のWebKitウェブブラウザエンジンに深刻なゼロデイ脆弱性が発見されたことを明らかにし、緊急パッチを配布した。この脆弱性「CVE-2025-24201」は、Webコンテンツのサンドボックスを回避する可能性があり、特定の標的に対する高度な攻撃で悪用されていた。

今回の脆弱性は、iOS、macOS、Safariなど広範囲の製品に影響を及ぼすものであり、Appleが2025年に入って対応する3件目のゼロデイ攻撃となる。1月と2月にも脆弱性が報告されており、特に2月の事例では国家レベルの監視活動への関与が指摘された。

Appleは攻撃者への情報流出を防ぐため、脆弱性の詳細を公表しない方針を貫いているが、迅速な対応を求める動きが広がっている。最新のパッチはiOS 18.3.2、macOS Sequoia 15.3.2などに適用され、公式サイトで詳細を確認できる。

Appleが公表したゼロデイ脆弱性の詳細と影響範囲

Appleが公表したゼロデイ脆弱性「CVE-2025-24201」は、WebKitのWebコンテンツサンドボックスを回避できる可能性がある。WebKitはSafariをはじめとする複数のApple製アプリケーションで使用されており、この脆弱性によって攻撃者が隔離された環境を突破し、システムの機密情報にアクセスする恐れがある。

Appleはこの脆弱性を「極めて高度」と分類し、特定の標的に対する攻撃で既に悪用されていたと発表した。今回の脆弱性はiOS 17.2以前のバージョンに影響を与え、iOS、iPadOS、macOS、visionOS、Safariの各プラットフォームで脆弱性を修正するパッチが配布された。

Appleは、脆弱性の発見者については公表しておらず、詳細な技術情報も伏せられているが、過去の事例を考慮すると外部の研究者やセキュリティ機関が関与していた可能性もある。Appleは2025年に入ってから、今回を含め3件のゼロデイ脆弱性を修正している。

1月にはCore Mediaフレームワークの「Use-After-Free」型の脆弱性、2月にはCitizen Labが発見したUSB制限モードを無効化する脆弱性が発覚している。これらはいずれも攻撃者による標的型攻撃で悪用された可能性があり、Appleのエコシステム全体のセキュリティが試される状況が続いている。

Appleのゼロデイ対応と情報開示の課題

Appleはゼロデイ脆弱性が発覚した際、迅速にパッチを配布することでリスクの最小化を図っているが、同時に脆弱性の技術的詳細を公表しない姿勢を維持している。これは攻撃者に悪用のヒントを与えないための措置と考えられるが、セキュリティ業界からはより透明性の高い情報開示を求める声もある。

特に、2025年2月に発覚したCitizen LabのBill Marczakによる脆弱性報告では、Appleのデバイスが国家レベルの監視活動に利用されていた可能性が指摘された。このケースでは発見者が公表されていたが、今回の「CVE-2025-24201」では発見者の情報が伏せられており、情報開示の基準が一貫していないとの指摘も出ている。

また、ゼロデイ脆弱性が発覚する頻度の高さも懸念される。2024年にもAppleは複数のゼロデイ脆弱性に対応しており、攻撃者がAppleの製品を標的としている状況が続いている。特にWebKitは過去にも複数回脆弱性が発見されており、構造的な問題がある可能性も否定できない。

Appleは今後、ゼロデイ攻撃に対する根本的な対策と、透明性のある情報開示のバランスを取ることが求められるだろう。

Source:CyberScoop