Appleが悪用された「Webkit」の脆弱性を修正 狙われたのは誰?「iPhone」「iPad」に重大な脆弱性

2025年3月11日、AppleはWebKitの脆弱性「CVE-2025-24201」を修正するアップデートを公開した。この脆弱性は既に標的型攻撃で悪用されているが、どのユーザーが影響を受けるのか。

2025年04月04日 07時00分 公開
[Alex ScroxtonTechTarget]

関連キーワード

Apple | OS | 脆弱性対策 | セキュリティ


 Appleは2025年3月11日(現地時間)、脆弱(ぜいじゃく)性「CVE-2025-24201」の修正および同社OS「iOS」「iPadOS」のアップデートを発表した。今回のアップデートは、既に実際のサイバー攻撃で悪用された脆弱性に対処するものだ。

 通常、Appleは攻撃者による悪用を防ぐため、脆弱性に関する技術的情報を提供しない傾向にあり、今回についてもその詳細は最小限にとどめられている。この脆弱性はどのようなものなのか、そして誰に影響を及ぼすのかを解説する。

Appleが「Webkit」の脆弱性を修正 狙われたのは誰?

会員登録(無料)が必要です

 Appleが公開したアップデートは以下の通り。

  • iOS 18.3.2
  • iPadOS 18.3.2
  • macOS Sequoia 15.3.2
  • visionOS 2.3.2
  • Safari 18.3.1

 Appleによると、今回の脆弱性は「WebKit」(Webサイトを表示させるためのレンダリングエンジン群)に影響を及ぼすもので、確保したメモリ領域外にデータを書き込んでしまう「境界外書き込み」の脆弱性だ。Webブラウザ「Safari」やAppleの公式アプリケーションストア「App Store」、メールなどに影響を与える可能性がある。

 「悪意のあるWebコンテンツが、WebKitの保護機能(サンドボックス)を突破する可能性がある」とAppleは説明する。この問題は、2023年12月に公開した「iOS 17.2」でブロックした攻撃に対する追加の修正でもあるという。

 AppleはCVE-2025-24201が実際に悪用されていたことを確認し、その後対策を講じたと明らかにしている。声明では「iOS 17.2より前のバージョンを使用する特定の個人を標的とした、極めて高度な手法を用いた標的型攻撃が用いられた可能性がある」と説明している。

 「高度な手法を用いた標的型攻撃」と表現されていることから、国家主体の脅威アクターが関与していた可能性が高いと考えられる。西側諸国の視点では、中国、イラン、北朝鮮、ロシアといった国家の関与が疑われる傾向にある。しかし、Appleのデバイスは世界中で広く利用されており、他の国々や一部の民間企業も、同様の目的で脆弱性を探し出し、悪用することが知られている。

 イスラエルのサイバーテクノロジー企業NSO Groupがその一例で、過去にApple製品の複数の脆弱性を悪用していたことが明らかになっている。同社はスパイウェア「Pegasus」を開発し、サウジアラビア政府が暗殺したジャーナリストのジャマル・カショギ氏のスパイ活動に活用したことで知られている。

 こうした背景を踏まえると、一般のApple製品ユーザーが直ちに深刻な被害を受ける可能性は低いとも考えられる。しかし、サイバーセキュリティ企業Hackuityの戦略担当バイスプレジデントを務めるシルヴァン・コルテス氏は「全てのユーザーが適切な防御策を取るべきだ」と警告する。

 「この脆弱性は、iOS 17.2より前のバージョンを使用するユーザーにとって重大なリスクとなる。デバイスとデータの安全性、プライバシーを確保すため、可能な限り速やかに最新のOSへアップデートすることを強く推奨する」(コルテス氏)

(翻訳・編集協力:編集プロダクション雨輝)

Computer Weekly発 世界に学ぶIT導入・活用術

米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

市場調査・トレンド ラピッドセブン・ジャパン株式会社

インシデント対応の自動化率はわずか16%、調査で見えた停滞の原因と解決策とは

AIや自動化の波はセキュリティ対策にも訪れているものの、ある調査によれば、「脅威やインシデント対応のプロセスを完全に自動化できている」と回答した担当者は16%にとどまっており、停滞している実態がある。その原因と解決策を探る。

市場調査・トレンド ラピッドセブン・ジャパン株式会社

セキュリティ製品の乱立を解消し、ベンダーを統合すべき理由とは?

近年、多くの組織が多数のセキュリティ製品をパッチワーク的に導入している。その結果、運用が複雑化し、非効率な状況が生まれてしまった。このような状況を改善するためには、セキュリティベンダーを統合することが必要だ。

製品レビュー エヌアイシー・パートナーズ株式会社

事業継続を守るランサムウェア対策:IBM Storage「セーフガードコピー」の役割

ランサムウェア対策が不可欠な取り組みとなる中、サイバーレジリエンスを強化する手段として、「セーフガードコピー」を実装した製品が注目されている。本動画では、その機能や特徴を約3分で簡潔に紹介する。

製品資料 グーグル合同会社

ブラウザがセキュリティの盲点に、攻撃事例から学ぶセキュリティ向上のヒント

仕事においても日常的なツールとなったインターネットブラウザでは、セキュリティ対策が追い付いてないことが多い。だが、現実の脅威は常に進化し続けている。実際の攻撃事例を基に、ブラウザベースのセキュリティ対策について解説する。

製品資料 チェック・ポイント・ソフトウェア・テクノロジーズ株式会社

41%の企業が悩むハイブリッド環境の保護、統合ファイアウォールが解決策に

ハイブリッドクラウドの普及により、企業のIT環境は複雑化し続けている。多様な環境でサイバーレジリエンスを高めるには、複数のファイアウォールの管理が求められる。この課題を解決する統合型ファイアウォールソリューションを紹介する。

アイティメディアからのお知らせ

From Informa TechTarget

なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか

なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...