Appleは4月、iPhoneやiPad、Macを含む複数デバイスに深刻な影響を及ぼす2件のゼロデイ脆弱性を修正したiOS 18.4.1を緊急公開した。CoreAudioの脆弱性(CVE-2025-31200)は感染メディアファイルを介し悪意あるコードを実行可能で、AppleとGoogleの分析チームが高度な標的型攻撃での悪用を確認している。

もう一つの脆弱性(CVE-2025-31201)はRPACに起因し、ポインター認証回避を許すリスクがあった。これらはiPhone XS以降やiPad Pro、Macなど幅広い機種に影響し、Appleは全ユーザーに速やかなアップデートを強く推奨。また、iOS 18.4で報告されていたCarPlayの接続不良問題も本アップデートで修正され、今後の利用安定性も向上するとしている。

ゼロデイ脆弱性が突かれた標的型攻撃の実態と修正内容

Appleが公開したiOS 18.4.1では、2件のゼロデイ脆弱性が深刻な脅威として実際に悪用されていたことが明らかになった。1件目のCVE-2025-31200はCoreAudioのメモリ破損に起因し、感染メディアファイルの再生を通じて悪意あるコードが実行されるリスクを内包していた。

Appleは境界チェックの強化でこの問題に対応しており、GoogleのThreat Analysis Groupと協力のもと、攻撃の痕跡を確認したと発表している。対象はiPhone XS以降に加え、iPad、Mac、Apple TV、Vision Proに及び、iOS、macOS、tvOS、visionOSの各最新版に修正が適用された。

2件目のCVE-2025-31201は、RPACに潜在していた脆弱性で、攻撃者がPointer Authenticationの仕組みを回避し、任意の読み書きを可能にする恐れがあった。Appleはこのコードを削除することで問題に対応している。いずれも標的型の攻撃で使用されており、特定個人に対する高度な侵入が行われていた。

修正の迅速さは評価されるべきだが、Appleの端末が狙われやすい状況にあることも改めて示された形である。

CarPlayの接続不良問題が示すアップデート管理の難しさ

今回のiOS 18.4.1アップデートでは、セキュリティ対応に加えて、CarPlayの接続に関する深刻な不具合も解消された。iOS 18.4導入後、一部のユーザー環境でCarPlayの接続が不安定になったり、画面が真っ白になるといった報告が相次いでいた。

Appleはこのトラブルについて詳細な原因は明かしていないものの、本アップデートで根本的に修正を行ったと説明している。これにより、今後は車載ディスプレイとiPhone間の接続が安定し、よりシームレスな使用体験が期待される。

ただし、こうした機能面の不具合がセキュリティ修正と同時に行われる事例は、OSの複雑性が高まっている現状を物語っている。セキュリティと利便性の両立が求められる中、ユーザーは信頼性の確保とともに、不具合の影響を最小限に抑えるアップデートの適切なタイミングにも配慮が必要となっている。今回の修正はその重要性を再認識させる出来事となった。

広範な対象デバイスが示すApple製品の脆弱性リスクの拡大

今回修正された脆弱性が影響するデバイスの範囲は極めて広い。iPhone XS以降のモデルに加え、iPad Pro(第3世代以降)、iPad Air、Mac、Apple TV、さらには最新のVision Proまでもが対象とされた。

これにより、Apple製品が家庭用から業務用、エンターテインメント、VR領域まで多岐に展開されている現代において、ひとたびセキュリティ上の欠陥が生じた際の影響範囲が急速に拡大する危険性が浮き彫りとなった。

Appleは各OSに対して個別にアップデートを配布しており、iOS 18.4.1、macOS Sequoia 15.4.1、tvOS 18.4.1、visionOS 2.4.1などが公開されているが、それぞれの環境でアップデートが確実に適用されるかは利用者側の対応に委ねられている。

製品群の広がりに比例して、脆弱性の発見・修正・周知・対応という一連のプロセスもより高度な管理が求められていると言える。企業や個人のリスク管理意識が試される局面でもある。

Source:TechSpot