Appleは、iPhone、iPad、Macなど広範な製品群に影響する3件のゼロデイ脆弱性について、緊急のセキュリティアドバイザリを発表した。報告されたCVE-2025-24200、CVE-2025-24201、CVE-2025-24085はいずれもすでに実際の攻撃で悪用された形跡がある。

特にWebKitとCoreMediaに関する脆弱性は、権限昇格やサンドボックス突破につながるものであり、iOS 17.2以前のバージョンでは高度な標的型攻撃に用いられた可能性が示唆されている。物理攻撃を前提とするUSB制限モード回避の問題も報告された。

Appleは、iOS 18.3やmacOS Sequoia 15.3などの最新パッチの適用を強く推奨しており、ユーザーには即時のアップデートと定期的なセキュリティチェックが求められている。

3件のゼロデイ脆弱性に共通する深刻性とその技術的背景

Appleが公表したCVE-2025-24200、CVE-2025-24201、CVE-2025-24085はいずれも、既に現実の攻撃で悪用されたことが確認されており、影響範囲の広さと侵害の深さが注目される。特にCVE-2025-24201は、Safariを含むWebKitベースのアプリケーションに対するアウト・オブ・バウンズ書き込みの脆弱性であり、悪意あるウェブコンテンツを通じてWeb Contentサンドボックスの突破が可能となる構造である。

一方でCVE-2025-24085では、AppleのCoreMediaコンポーネントに存在するUse-After-Freeの欠陥により、不正アプリによって権限昇格が引き起こされる恐れがある。CoreMediaはmacOS、iOS、watchOS、tvOS、visionOSなどに共通するメディア処理基盤であり、1つの脆弱性が複数プラットフォームに連鎖的な影響を与える構図が浮き彫りとなった。

物理的アクセスを前提としたCVE-2025-24200はUSB制限モードのバイパスを可能にする点で異質だが、標的型攻撃に用いられた可能性が示唆される点では他の2件と同様に高度な攻撃との関係が見て取れる。いずれもCVSSスコアは6.1〜8.1に設定されており、単なる理論上の脆弱性ではなく、攻撃実績を伴う現実的なリスクであることが裏付けられている。

パッチ提供の迅速さとユーザー側に求められる対応姿勢

Appleは今回のゼロデイ脆弱性に対し、iOS 18.3、macOS Sequoia 15.3、watchOS 11.3などの更新を迅速に公開し、ユーザーに対して即時のアップデートを促している。特にiOS 17.2以前のバージョンではすでに攻撃が観測されていることから、アップデートの遅延は実質的なリスクの放置に直結する構造となっている。

更新の遅れがサイバー攻撃の成功率を高める構造は過去の事例でも繰り返されてきた。Appleは加えて、Lockdown Modeの活用や不明なアプリのインストール回避など、ユーザー自身によるセキュリティ対策の徹底も推奨している。だが、最新OSが一部古いデバイスに非対応である現状を踏まえると、ハードウェアの更新を含めた中長期的な対応が必要となるケースも出てくる。

また、今回の事例では、トロント大学のCitizen Lab所属のBill Marczak氏による脆弱性の発見と報告がAppleの対応を促した形となっており、民間研究機関による監視体制の重要性も浮き彫りになった。ユーザー側の備えと企業・研究機関による対応とが噛み合ってこそ、サイバーリスクの制御が成立する。

ゼロデイ攻撃の巧妙化と企業に迫るサプライチェーンの再評価

今回のゼロデイ脆弱性の共通点のひとつは、「非常に高度な攻撃」で悪用されたというAppleの認識である。これは、国家的・準国家的アクターによる標的型攻撃、もしくはそれに準じた技術水準の存在を示唆する。特にWebKitとCoreMediaというAppleエコシステムの中核技術を狙った手法は、単なる個人情報収集や金銭目的では説明しきれない整合性がある。

こうした攻撃は、従来のセキュリティソフトやファイアウォールでは防ぎきれない領域に入りつつあり、企業側には自社デバイスのみならず、従業員の私物端末(BYOD)に対するセキュリティポリシーの厳格化が求められている。また、アプリケーション開発を外部委託している企業では、脆弱性管理や更新義務を委託先に委ねたままにすることでリスクを放置する事例も少なくない。

Apple製品が業務利用の現場で高い浸透率を持つ中、こうしたゼロデイ攻撃の増加は、IT統制におけるサプライチェーン全体の再評価を迫る契機となる。テクノロジーを活用するすべての組織にとって、端末と運用の境界を超えたセキュリティ戦略が今や必須となっている。

Source:Cyber Security News