AppleはiOS 18.5を正式に公開し、Bluetoothやメモアプリ、そしてiPhone 16eに搭載されるC1セルラーモデムのベースバンド領域など、合計30件を超える深刻なセキュリティ脆弱性に対応した。特に、物理的アクセスで削除済みの音声データが閲覧される不具合や、特権的な通信環境下でのトラフィック傍受リスクといった問題は看過できない。

同時にリリースされたmacOS Sequoia 15.5およびwatchOS 15.5にも広範なセキュリティ修正が施され、AppleはiPhoneのみならず、iPadやMacBook、Apple Watchを含めた製品群全体での防御力を高めている。

Core BluetoothやC1モデムなど複数の重要領域に深刻な脆弱性が存在

iOS 18.5で修正された30件以上の脆弱性の中には、日常的な使用環境に密接に関わる重要な要素が多数含まれている。Core Bluetoothの脆弱性(CVE-2025-31212)では、悪意あるアプリがユーザーの機密データにアクセスできる可能性があり、周辺機器やヘッドセットの利用がセキュリティリスクになり得た。また、Notesアプリのバグ(CVE-2025-31227)により、攻撃者が端末に物理アクセスすることで削除済みの通話録音にアクセスできる恐れがあった。

さらに注目すべきは、iPhone 16eに搭載されているC1セルラーモデムに関連するベースバンドの脆弱性(CVE-2025-31214)である。この問題では、特定のネットワーク環境に存在する攻撃者が、デバイスの通信内容を傍受できるリスクがあったとされる。これらの脆弱性は、ハードウェアとソフトウェアの密接な連携に依存するApple製品の構造上、外部からの侵入が極めて限定的であると考えられていた安全神話を揺るがすものといえる。

セキュリティアップデートが単なる形式的な改修ではなく、実使用環境における深刻なリスクへの対処であることが明確になった今回のケースは、OSアップデートの重要性を改めて浮き彫りにしている。

アップデートの遅れが狙われる理由とその現実的リスク

AppleがiOSやmacOS、watchOSの更新においてセキュリティ修正を繰り返し強調する背景には、ゼロデイ攻撃の深刻化と、ターゲットの拡散というサイバー攻撃の構造変化がある。ハッカーは当初、政治家や企業幹部などのハイプロファイルな標的を狙うが、そうした攻撃コードが市場に流出した後、次第に一般のデバイスにも適用されるようになる。つまり、かつての国家級攻撃手法が、今や市販スマートフォンの脆弱性を突く手段となっている。

今回のiOS 18.5でも、CVEとして登録された複数の脆弱性が、デバイスのコア機能に及ぶことから、攻撃成功時のインパクトは極めて高いといえる。更新を怠ったデバイスは、通信の傍受や個人情報の漏洩といった明確な被害を受ける可能性がある。特に、物理的にアクセスされた場合に過去の削除データへアクセス可能という点は、端末を一時的に手放す場面においてもリスクが発生する。

こうした背景を踏まえると、アップデートを「新機能の提供」ではなく、「攻撃対象から外れるための対策」として捉える視点が不可欠である。Apple製品の安全性を前提にするのではなく、継続的な対処によってこそ、その信頼性が保たれていることを認識すべきである。

Source:Tom’s Guide