AppleのAirPlayプロトコルとSDKに潜む23件の脆弱性「AirBorne」は、iPhoneやMac、Apple Vision ProなどのApple製品および対応サードパーティデバイスに対して、ゼロクリックのリモートコード実行(RCE)攻撃を可能にする深刻なリスクを孕んでいる。

セキュリティ企業Oligoは、CVE-2025-24252などを用いたワーム型攻撃の可能性を実証し、感染が同一ネットワーク上の他デバイスへ拡散しうる点を警告した。Appleは2025年3月末に対応アップデートを配布し、AirPlayオーディオ/ビデオSDKやCarPlay通信にも修正を施しているが、更新未適用のデバイスは依然として標的となりうる。

AirPlayの広範な普及状況から見ても、本件はサプライチェーン攻撃やスパイ活動の起点となる懸念を含み、利用者全体に迅速な対策が求められている。

AirPlayの根幹に潜む23の脆弱性が明らかに Oligoが指摘した深刻度

セキュリティ企業Oligoが明らかにした「AirBorne」と呼ばれる一連の脆弱性は、AppleのAirPlayプロトコルおよびSDKにおける根本的な構造的欠陥を露呈するものである。Oligoは、iPhone、iPad、Mac、Apple Vision Proに加え、AirPlay SDKを用いたサードパーティ製品も広範に影響を受けると指摘した。

注目すべきは、ゼロクリックによるリモートコード実行(RCE)攻撃の可能性が実証された点であり、攻撃者がユーザーの操作なしにデバイスを掌握できるリスクが存在する。Oligoは特に、CVE-2025-24252およびCVE-2025-24132を組み合わせた形で、ネットワーク内をワームのように拡散するエクスプロイトの構築が可能であることを技術的に実証した。

さらに、ユーザーインターフェースの承認プロセスを回避するCVE-2025-24206により、被害拡大の閾値は大きく下がった。これらは、AirPlayが通信の利便性と即応性を重視した設計であったことが裏目に出た形といえる。

Appleは2025年3月31日、当該の23件すべてに対応するセキュリティパッチをリリースしたが、脆弱性の規模と攻撃手法の多様さを鑑みれば、今回の件は単なる技術的問題にとどまらず、設計思想の再考を迫る警鐘と受け取るべきである。

感染の起点としてのAirPlay ローカルネットワーク型攻撃の新たな様相

AirPlayの脆弱性は、単体デバイスの乗っ取りにとどまらず、企業や家庭内のローカルネットワーク全体への感染拡大を誘発する起点となり得る。Oligoが示したように、同一ネットワーク上にある他のAirPlay対応デバイスへの拡散が可能であることは、ゼロトラストが叫ばれる時代において、極めて厄介な問題である。

特に感染端末が社内ネットワークを媒介に他の資産へと波及する可能性を考えれば、その影響は限定的とは言い難い。AirPlayはオーディオや映像のストリーミング機能として、多くのApple製品に標準搭載されており、企業でも会議室のモニタ表示や教育現場での投影に日常的に利用されている。

そうした環境において、特定の端末を通じてバックドアが形成される事態は、スパイ活動やランサムウェア攻撃といった高度な脅威の導線となる。加えて、CarPlayやAirPlay SDKを介した通信経路の脆弱性も明らかになっており、モバイルや車載ネットワークの安全性にも不安が残る。

今回の指摘は、AirPlayが提供する利便性の裏に潜むリスクを可視化したものであり、システムアーキテクチャに対する継続的な脅威モデルの見直しが求められる契機といえる。

アップデートの緊急性とAppleの対応限界 求められる利用者側の行動変容

Appleは全対象プラットフォームに対するセキュリティアップデートを迅速に提供しているが、現実としてパッチ適用の遅れや、更新されないまま残る旧型デバイスの存在が深刻なリスクを招いている。AirBorneの脆弱性は、iOS 18.4、macOS Sonoma 14.7.5、visionOS 2.4などの最新バージョンで修正されているものの、パッチ未適用の環境では依然として攻撃の踏み台となる可能性がある。

Oligoは、企業に対して業務用デバイスのみならず、従業員が私的に使用するAirPlay対応機器についてもアップデートを促すよう呼びかけている。これにより、IT部門にはデバイス管理ポリシーの再構築が迫られるほか、BYOD(私物端末の業務利用)を許容する組織では特に対応が難航する可能性がある。

Appleの製品哲学は、ユーザー体験を重視し、複雑なセキュリティ設定を極力排除する設計思想に根ざしてきた。しかしその一方で、想定外の攻撃経路がユーザーに意識されにくく、被害が表面化するまでに時間を要するという構造的課題を内包している。今後は利用者側においても、アップデートの定期確認やネットワークのセグメント化といった、主体的な防御策を講じる必要性が高まっている。

Source:BleepingComputer