米国のサイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)が、AppleのiOSとiPadOSに存在する深刻なゼロデイ脆弱性(CVE-2025-24200)について緊急警告を発しました。この脆弱性は、USB制限モードの欠陥を突くもので、攻撃者が物理的にデバイスへアクセスできる場合にロック状態を解除し、機密データを不正に取得する可能性があります。

Appleは、この脆弱性を悪用した標的型攻撃が実際に確認されていると発表しましたが、攻撃者の詳細については明らかにしていません。専門家の間では、監視ツールの開発企業や国家が関与している可能性も指摘されています。Appleは2月10日に緊急パッチをリリースし、CISAも3月5日までにアップデートを適用するよう強く推奨しています。

USB制限モードの抜け穴 なぜこの脆弱性が危険なのか

AppleがiOS 11.4.1で導入したUSB制限モードは、セキュリティ強化のための重要な機能とされてきました。デバイスが1時間以上ロックされている場合、Lightningポート経由でのデータ通信を制限し、不正なアクセスを防ぐ仕組みです。しかし、今回のCVE-2025-24200は、その機能の設計上の欠陥を突き、認証バイパスを可能にするものです。

この脆弱性の厄介な点は、通常のリモート攻撃とは異なり、物理的な接触が必要であることです。攻撃者がデバイスを手にした状態で適切なツールを使用すれば、ロック解除なしにデータへアクセスできる可能性があります。例えば、機密情報を扱う企業の従業員がデバイスを一時的に手放した隙に、不正にデータが取得される危険性も考えられます。

また、この攻撃手法は、過去に法執行機関やハッカーグループによって使用されてきた手口と類似しています。特に、グレイハット企業や監視ツールを提供する企業がこの脆弱性を利用する可能性も指摘されています。

そのため、単なる個人情報の流出にとどまらず、監視目的で悪用されるケースも想定されるでしょう。Appleはすでに修正パッチをリリースしていますが、影響を受けるデバイスの範囲が広いため、できるだけ早くアップデートを適用することが推奨されます。

国家関与の可能性と監視ツールの危険性

今回の脆弱性に関して、トロント大学のCitizen Labの研究者が関与していることからもわかるように、単なる一般的なセキュリティリスクにとどまらず、より大規模な監視活動との関連が指摘されています。Citizen Labは、これまでにもNSOグループの「Pegasus」などの監視ツールによるスパイ行為を明らかにしており、今回の脆弱性も同様の用途に悪用される可能性が示唆されています。

Appleは、特定の企業や国家による関与について公式な発表を行っていませんが、ゼロデイ攻撃が国家レベルのスパイ活動に利用されることは過去にも例がありました。例えば、政府機関がジャーナリストや政治家のデバイスをターゲットにして、機密情報を収集するためにこうした脆弱性を悪用する可能性もあります。

また、Appleのセキュリティ修正パッチがリリースされるたびに、国家が関与する高度な攻撃手法が新たに発見されることが増えています。つまり、iPhoneのセキュリティが強化される一方で、それを突破する手法が次々と開発されているという現状が浮かび上がります。今回の脆弱性も、監視ツールがより巧妙化する流れの一部と考えられるため、個人ユーザーでも日常的なセキュリティ対策を意識する必要があります。

ユーザーが今すぐ行うべきセキュリティ対策

今回のCVE-2025-24200は、特定の条件下で物理的なアクセスを必要とするものですが、すべてのiPhone・iPadユーザーにとっても重要なリスクです。特に、機密データを扱う環境では、最新のセキュリティ対策を実施することが必須となります。

まず、AppleがリリースしたiOS 18.3.1およびiPadOS 18.3.1(旧モデルはiPadOS 17.7.5)へのアップデートを直ちに適用することが最優先です。また、設定から「USBアクセサリを許可しない」オプションを有効にしておくことで、リスクを最小限に抑えることができます。

さらに、物理的なセキュリティ対策として、デバイスの持ち歩き方にも注意が必要です。例えば、公共の場や職場で長時間デバイスを放置しないこと、指紋認証や顔認証の設定を必ず有効にしておくこと、万が一の盗難時に「探す」機能を迅速に活用できるようにすることなどが有効な対策です。

今回の事例を通じて、スマートフォンのセキュリティは単なるパスワード管理にとどまらず、物理的なアクセスや監視リスクにも注意を払う必要があることが明らかになりました。日常的な対策を徹底し、不審なアクセスを未然に防ぐことが、個人の情報を守るために不可欠です。

Source:Cyber Security News