iOSに新たな重大脆弱性「CVE-2025-24091」が発見された。悪意あるアプリがたった1行のコードでiPhoneを無限再起動サイクルに陥れ、完全なリストアを強制する深刻なリスクを孕んでいる。この脆弱性はCoreOSレイヤーのDarwin通知システムを悪用しており、特別な権限なしにシステムレベルの操作が可能になる点が問題視されている。

研究者ギリェルメ・ランボ氏は、ウィジェット拡張機能を通じた持続的攻撃「VeryEvilNotify」の存在を指摘。AppleはiOS 18.3で対応策を講じたが、旧バージョン使用者には引き続き高いリスクが残存する。モバイルOSのレガシーAPIが引き起こす脆弱性問題に改めて警鐘が鳴らされている。

iPhoneを一瞬で無力化する脆弱性 CVE-2025-24091の危険性とは

iOSのDarwin通知システムに潜む脆弱性「CVE-2025-24091」が、悪意あるアプリケーションによるたった1行のコードでiPhoneを無限再起動ループに陥れる危険性を明らかにした。この問題はCoreOSレイヤーに存在し、プロセス間通信を担う低レベルAPIであるDarwin通知を悪用することで発生する。

特別な権限や認可なしにシステムレベルの通知が送信できる点が根本原因とされ、結果としてユーザーはデバイスの完全リストアを余儀なくされる。この脆弱性は、特にウィジェット拡張機能を介して持続的な攻撃を仕掛ける手法と組み合わされることで、再起動後も攻撃が繰り返される極めて厄介な被害形態を生み出す。

セキュリティ研究者ギリェルメ・ランボ氏によれば、iOSはウィジェット拡張を積極的に起動する仕様があるため、脆弱性を突いた攻撃が継続しやすい環境にあると指摘されている。Appleはこの問題を受け、iOS 18.3にてDarwin通知に対する新たな認可制御を導入し、脆弱性への対策を講じた。

見過ごされてきたレガシーAPIの脅威 Darwin通知システムに潜む構造的問題

今回の脆弱性は、長年運用され続けてきたDarwin通知システムに起因している。NSNotificationCenterやNSDistributedNotificationCenterとは異なり、Darwin通知はAppleのOS全体にわたり動作するレガシーAPIであり、設計当初は高度な認可機構が想定されていなかった。

ギリェルメ・ランボ氏は、Darwin通知はシンプルな設計思想に基づき、プロセス間での簡易メッセージ交換に特化していると説明している。このアーキテクチャ上の単純さが、現代のセキュリティ要件に対して脆弱性を孕む要因となった。

AppleはiOS 18.3でようやく敏感な通知に対する新たな認可レイヤーを導入したが、過去にも「Darwin Nuke」と呼ばれるサービス拒否脆弱性がカスペルスキー研究所によって報告されており、構造的なリスクは以前から存在していた。モバイルOSにおけるレガシー機能の放置は、今後も重大なリスクを引き起こす可能性を示唆している。

モバイルセキュリティの新たな教訓 ユーザーに求められる即時対応と意識改革

iOS 18.3未満のバージョンを使用しているデバイスは、引き続きこの脆弱性に晒されている状況にある。たった1行のコードで端末が無力化されるという今回の事例は、モバイルデバイスにおけるアップデートの即時適用がいかに重要かを改めて浮き彫りにした。

Appleは脆弱性の修正に加え、対象研究者に対して17,500ドルのバグ報奨金を支払う措置を講じたが、端末を利用するすべての個人にも責任が問われる局面にある。今回の脆弱性は、目に見える派手な攻撃ではなく、極めて単純な仕組みによるシステム破壊を可能とする点に特徴がある。

今後、サイバー攻撃はますます巧妙化する一方で、レガシーな仕組みや見過ごされがちな仕様が突かれるリスクが高まると考えられる。すべてのiPhoneユーザーは速やかなiOSアップデートを実施するとともに、アプリやウィジェットのインストール時に一層の注意を払う必要がある。

Source:Cyber Security News