AppleはiOSおよびiPadOS 18.4の提供を開始し、合計62件に及ぶ脆弱性の修正を実施した。中でも、悪意あるアプリを通じてiPhoneのロックが解除される可能性がある「CVE-2025-30432」や、機密情報の窃取に関わる「CVE-2025-24202」および「CVE-2025-2422」など、カーネルやバックアップ機能、アクセシビリティ機能に関わる致命的な問題が修正対象に含まれている。

これらの脆弱性は、ByteDanceやTrend Microの研究者によって報告され、Appleは再発防止のための追加的なセキュリティ層も導入した。脆弱性の深刻度や影響範囲を鑑み、Appleは全ユーザーに対し、速やかなアップデートの実施を強く推奨している。攻撃者による不正アクセスや情報漏洩のリスクを回避するため、対応の遅れは重大な結果を招く可能性があるとされる。

カーネル脆弱性「CVE-2025-30432」が示すiOSの中核的リスク

iOS 18.4における最大の修正点は、「CVE-2025-30432」と呼ばれるカーネルの脆弱性である。これは、iPhoneの最も中枢となるカーネル領域に存在した欠陥で、悪意あるアプリを介して第三者がロック解除操作を行える可能性があるという深刻なものだ。

この脆弱性はサイバーリスク調査員マイケル・トーマス氏によって発見され、Appleは迅速に対応を行ったとされるが、影響は極めて広範に及ぶ。カーネルはOS全体の挙動を司る基盤であり、ここが侵害されることはすなわち、OSのあらゆる機能が悪用されうることを意味する。

特に企業で利用される端末においては、認証情報や業務アプリへのアクセスが脅かされるリスクも否定できない。Appleはこの修正を通じてカーネルの堅牢性を高めたとするが、根本的な課題は今後も新たに発見される可能性がある点にある。

iOSの信頼性は高く評価されてきたが、それゆえに脆弱性が放置されることの代償は大きい。特に今回のようにロック解除に直結する脅威は、物理的に端末を奪われた場合に加えて、リモート攻撃でも深刻な被害を及ぼす懸念が残る。Appleがセキュリティ更新を迅速に行った背景には、こうしたリスクが高まる中で、ブランド信頼の維持が急務であったという現実がある。

バックアップとアクセシビリティ機能に潜む情報流出の危機

今回のアップデートでは、バックアップとアクセシビリティに関連する2件の重大な脆弱性も修正対象となった。ByteDanceの李中成氏によって発見された「CVE-2025-24202」は、アクセシビリティ機能の設計に起因する欠陥で、攻撃者が機密情報へ不正アクセスできる可能性を示していた。

また「CVE-2025-2422」では、バックアップからキーチェーン内のセンシティブな情報が盗まれるリスクが存在していたとされる。これらの問題の共通点は、ユーザーが利便性のために日常的に利用する機能が、そのままセキュリティホールとなり得るという点である。

特にバックアップの脆弱性は、クラウドやローカル保存の管理方法によっては、多数の端末に波及しうる。また、アクセシビリティ機能は障がい者向けに設計されているが、その設計思想が悪用されることにより、予期せぬ侵入経路が開かれる形となっていた。

Appleはこれらの問題に対して単なる修正にとどまらず、追加のセキュリティ層を導入したとしているが、今後も設計思想と防御機構のバランスをどう取るかが課題となる。利便性と安全性の両立は、エンドユーザーだけでなく開発側にとっても高度な調整を要するものであり、この分野における企業責任は一層重くなることが予想される。

Source:HotHardware