Appleは、深刻なゼロデイ脆弱性3件に対処するセキュリティパッチを、旧型デバイス向けにも例外的にバックポートした。対象には、Citizen Labが発見したUSB制限モードの無効化に悪用される脆弱性「CVE-2025-24200」、WebKitのサンドボックスを迂回する「CVE-2025-24201」、Core Mediaに関する権限昇格の問題「CVE-2025-24085」が含まれる。

これにより、iOS 16.7.11や15.8.4、iPadOS 17.7.6、macOS Ventura 13.7.5など広範囲の旧OSにも保護が拡大された。同時に、Appleは最新のiOSやmacOSでも最大123件の脆弱性を修正しており、ゼロデイが含まれないとはいえ迅速なアップデートの適用が推奨される状況が続いている。

ゼロデイ脆弱性の実態とAppleの対応範囲

2025年初頭以降、Appleは3件のゼロデイ脆弱性に対して連続的にセキュリティ修正をリリースしている。まず「CVE-2025-24200」は、Citizen Labにより報告された脅威であり、USB制限モードの回避を可能にするもので、物理的にアクセスされたデバイスでもデータの抽出が可能となる深刻な問題を含んでいた。

この修正はiOS 18.3.1やiPadOS 17.7.5などで提供され、その後iOS 16.7.11や15.8.4といった旧バージョンにもバックポートされた。次の「CVE-2025-24201」は、WebKitエンジンに仕掛けられた高度なWebコンテンツによるサンドボックス回避であり、macOS Sequoia 15.3.2やSafari 18.3.1で修正が行われた。

さらに、Core Mediaの権限昇格問題「CVE-2025-24085」もmacOS Ventura 13.7.5などで補完され、watchOSやtvOSを含む複数のプラットフォームにまで修正範囲が広がっている。Appleはこれらの欠陥を放置せず、旧端末ユーザーにも対応した点でセキュリティ姿勢を示したが、それは新旧両方のOSが依然として攻撃者の標的であるという現実を裏付けている。

OSの世代を問わない脆弱性の拡散と企業に求められる対策

Appleがゼロデイ脆弱性の修正を旧OSにまで展開した背景には、旧型デバイスが依然として実務環境に残存し続けている現実がある。たとえば、企業内で利用される業務用iPadやMacの一部は、アプリ互換やコストの観点から旧OSで運用されているケースが少なくない。

今回修正されたUSB制限モードの回避やWebKitのサンドボックス突破といった技術は、特定の標的に対して極めて効果的に用いられる恐れがあり、単なる個人の被害では済まされないリスクを孕んでいる。Appleが明確に「非常に高度な攻撃」と指摘した点も、単なるゼロデイの修正に留まらず、国家や産業スパイ活動などの高次元の攻撃手法との関連性を示唆していると考えられる。

したがって、OSの新旧にかかわらず、セキュリティアップデートの適用は企業全体のリスクマネジメントの中核である。アップル製品に依存する業務基盤を持つ組織にとって、技術資産の棚卸しと脆弱性対応の即時性は、もはや“選択肢”ではなく“責任”に等しいものといえる。

Source:BleepingComputer