Appleは2025年4月、Apple Vision Pro向けのOS「visionOS 2」において、深刻なセキュリティ脆弱性に対応するマイナーアップデート「visionOS 2.4.1」をリリースした。CVE-2025-31200およびCVE-2025-31201として報告された2件の脆弱性は、すでに標的型の高度な攻撃で悪用されていた可能性があり、悪意あるメディアファイルによるコード実行や、ポインタ認証の回避といった深刻な影響が確認されている。AppleとGoogleの脅威分析チームによる発見に基づき、ユーザーはただちにアップデートを適用する必要がある。

新バージョンは、Vision Proの「設定」アプリ内からインストール可能で、更新時はデバイスの取り外しとEyeSight画面上の進行表示が求められる仕様となっている。今回の修正により、境界チェックの強化や脆弱コードの削除が実施されており、Appleはすべてのユーザーに対してアップデートの適用を強く推奨している。

Vision Proを狙った脆弱性の実態とAppleの即時対応

今回のvisionOS 2.4.1における最大の焦点は、CVE-2025-31200およびCVE-2025-31201と名付けられた2件のセキュリティ脆弱性である。前者は、悪意ある音声ストリームを含んだメディアファイルを処理する際にメモリ破損が発生し、任意コードが実行されるリスクを含んでいた。後者は、特定条件下で読み書き権限を持つ攻撃者がポインタ認証を回避し、より高度な制御を奪取できる可能性を持っていた。どちらの脆弱性も、AppleとGoogleの脅威分析グループにより、高度な標的型攻撃にて実際に悪用された形跡が報告されている。

Appleはこれに対し、バグ修正とセキュリティ対策を施したvisionOS 2.4.1を即日配信。脆弱性の原因となっていたコードの削除や、メモリ管理の見直しを通じて、システムの信頼性を迅速に回復した。この対応の速さは、AppleがVision Proを中核プロダクトとして位置付けている証とも読み取れる。一方で、こうしたゼロデイ脆弱性がARヘッドセットという新カテゴリでも例外でないことを改めて印象付けたとも言える。

セキュリティアップデートのインストール体験にも影響するVision Proの仕様

visionOSの更新は、iPhoneやMacと同様に「設定」アプリから行えるものの、Vision Pro固有の設計がインストール手順に影響している。アップデート実行時にはヘッドセットを頭部から外す必要があり、その間、前面のEyeSightディスプレイには進行状況バーが表示されるというUI設計が採用されている。これは没入型デバイスとしての特性を踏まえた措置と考えられるが、実際にはユーザーの手間や注意を要する点でもある。

また、Appleが「すべてのユーザーに推奨」と明記していることからも、このアップデートの緊急性の高さがうかがえる。新しい製品カテゴリであるVision Proでは、こうしたシステムレベルの信頼性維持が今後の展開に直結すると見られる。一方で、アップデートのたびにデバイスを外す必要があるという運用面での制限は、今後のユーザビリティ改善の余地を感じさせる部分でもある。

新カテゴリ製品への攻撃増加が示すセキュリティの転換点

Vision Proのような空間コンピューティングデバイスを狙った実際の攻撃事例が報告されたことは、セキュリティの重心が新たなプラットフォームへ移行しつつあることを物語っている。従来のスマートフォンやPCとは異なるインターフェースとデータ処理体系を持つこれらのデバイスは、新たな脅威モデルを構築しやすい対象として注目されている。AppleとGoogleという2社の脅威分析部門が関与していたことからも、今回の脆弱性が決して一般的なレベルのものではなかったことがうかがえる。

こうした状況を受けて、今後のvisionOSや関連デバイスには、より高次のセキュリティアーキテクチャが求められる可能性がある。また、ユーザーもアップデートを「機能追加」ではなく「安全性の確保」という観点で捉える意識変化が必要になっていく。空間デバイスの普及が進む中で、攻撃者の標的も確実に拡大しており、今回の修正はその警鐘とも捉えられる。

Source:MacTrast