Appleは、iOSおよびiPadOSに存在するゼロデイ脆弱性CVE-2025-24200を修正する緊急アップデートを公開しました。この脆弱性は既に悪用されており、攻撃者がロックされたデバイスのUSB制限モードを無効にできる可能性があると報告されています。

USB制限モードは、外部デバイスとの通信を制限する機能で、デジタルフォレンジックツールによる不正アクセスを防ぐ役割を持ちます。しかし、この脆弱性により、攻撃者が物理的にデバイスへアクセスできれば、USB経由でセキュリティ対策を回避できる恐れがあると指摘されています。

Appleは、この問題の悪用を認識した上で「特定の標的に対して高度な攻撃が行われた可能性がある」とし、迅速にセキュリティパッチを提供しました。対象となるデバイスを使用している場合は、速やかに最新のiOSバージョンへ更新することが推奨されます。

CVE-2025-24200の危険性とは?攻撃手法と影響を詳しく解説

CVE-2025-24200は、iOSおよびiPadOSに影響を与えるセキュリティ脆弱性で、攻撃者がロックされたデバイスのUSB制限モードを無効にできる可能性があると報告されています。この問題の重大性は、物理的なアクセスが前提である点にありますが、それでも十分な脅威となり得ます。

USB制限モードは、本来、デバイスが長時間未使用の場合に外部機器とのデータ通信を遮断する仕組みです。この機能が無効化されることで、攻撃者は特殊なツールを用いてデバイス内部のデータへアクセスすることが可能になると考えられます。特に、法執行機関やセキュリティ企業が使用するCellebriteやGrayKeyのようなツールが、悪用される可能性が指摘されています。

Appleは、攻撃が特定の標的に対して行われた可能性を認めており、高度な手法を用いたハッキンググループによる攻撃が考えられます。一般のユーザーにとっても、デバイスを不用意に第三者へ渡したり、セキュリティアップデートを適用しないまま使用することは、データ漏洩のリスクを高める原因となります。対策として、最新のiOSに更新することはもちろん、端末の物理的な管理にも注意を払う必要があります。

Appleの迅速な対応と修正内容 最新のiOSでのセキュリティ対策

Appleは、CVE-2025-24200の脆弱性に対し、すぐに修正パッチを適用しました。この修正は、状態管理の改善(improved state management)によって行われており、USB制限モードの無効化を防ぐための強化が施されています。

対象となるアップデートは、iOS 18.3.1およびiPadOS 18.3.1で、iPhone XS以降のモデルを含む幅広いデバイスに適用可能です。加えて、iPadOS 17.7.5も一部の古いiPadモデルに提供され、過去のデバイスもセキュリティ保護の対象となっています。Appleの過去の事例を振り返ると、同社はゼロデイ脆弱性の発覚後、迅速な対応を取る傾向があります。

たとえば、最近修正されたCVE-2025-24085は、Core Mediaコンポーネントに存在した「解放後使用(use-after-free)」の脆弱性で、すでに悪用されていました。このように、Appleはセキュリティ上の欠陥を即座に修正し、ユーザーの安全を確保する方針を取っています。しかし、すべてのユーザーが即座にアップデートを適用するわけではなく、古いバージョンを使用し続けるリスクも依然として存在します。

Appleの対応は評価されるべき点が多いですが、ゼロデイ攻撃の脅威は依然として続いており、セキュリティ意識を高めることが重要です。特に、公式のセキュリティアップデートを確実に適用し、サードパーティ製の不審なアクセサリやソフトウェアを使用しないことが、安全性を保つ鍵となるでしょう。

ゼロデイ攻撃と監視ツールの関係 Pegasusの事例から学ぶリスク

ゼロデイ脆弱性は、一般的に高度な攻撃手法を用いるハッカーや監視ツールの開発企業によって悪用される傾向があります。特に、市民社会の監視目的で使用されることが問題視されており、NSO Groupが開発したPegasusはその代表的な例です。

Pegasusは、政府機関や法執行機関向けに販売される監視ソフトウェアで、標的のスマートフォンへ遠隔で侵入し、通話履歴やメッセージ、写真などのデータを収集できます。しかし、報道によると、このツールはジャーナリストや人権活動家、政治家などを監視する目的で利用されたケースが確認されています。

NSO Groupは、自社の技術が「大規模な監視ツールではなく、合法的な法執行機関にのみ提供されている」と主張していますが、過去の事例を見ると、その管理が徹底されているとは言い難い状況です。

2024年の透明性レポートによれば、同社は31カ国の54の顧客と契約を結び、その中には情報機関や法執行機関が含まれています。しかし、このような監視ツールが不正に利用された場合、一般ユーザーのプライバシーに与える影響は計り知れません。

このような背景を考えると、ゼロデイ脆弱性の存在は、単なる技術的な問題にとどまらず、社会的な問題にも発展しうることがわかります。

Appleのセキュリティ対策が強化されることで、こうした監視ツールの悪用が抑制される可能性もありますが、完全に防ぐことは難しいのが現実です。一般ユーザーとしては、個人のデータを保護するために、常に最新のセキュリティアップデートを適用し、疑わしいリンクやアプリのインストールを避けるといった対策を徹底することが求められます。

Source:The Hacker News