Appleが悪用された「Webkit」の脆弱性を修正　狙われたのは誰？：「iPhone」「iPad」に重大な脆弱性

2025年3月11日、AppleはWebKitの脆弱性「CVE-2025-24201」を修正するアップデートを公開した。この脆弱性は既に標的型攻撃で悪用されているが、どのユーザーが影響を受けるのか。

≫ 2025年04月04日 07時00分公開

[Alex Scroxton，TechTarget]

印刷／PDF

メール通知

連載「Computer Weekly発　世界に学ぶI...」の新着をメールで通知

見るPost

Shareシェア

Shareはてなブックマーク

Appleが「Webkit」の脆弱性を修正　狙われたのは誰？

会員登録（無料）が必要です

併せて読みたいお薦め記事

Apple製品の脆弱性

　Appleが公開したアップデートは以下の通り。

iOS 18.3.2
iPadOS 18.3.2
macOS Sequoia 15.3.2
visionOS 2.3.2
Safari 18.3.1

　Appleによると、今回の脆弱性は「WebKit」（Webサイトを表示させるためのレンダリングエンジン群）に影響を及ぼすもので、確保したメモリ領域外にデータを書き込んでしまう「境界外書き込み」の脆弱性だ。Webブラウザ「Safari」やAppleの公式アプリケーションストア「App Store」、メールなどに影響を与える可能性がある。

　「悪意のあるWebコンテンツが、WebKitの保護機能（サンドボックス）を突破する可能性がある」とAppleは説明する。この問題は、2023年12月に公開した「iOS 17.2」でブロックした攻撃に対する追加の修正でもあるという。

　AppleはCVE-2025-24201が実際に悪用されていたことを確認し、その後対策を講じたと明らかにしている。声明では「iOS 17.2より前のバージョンを使用する特定の個人を標的とした、極めて高度な手法を用いた標的型攻撃が用いられた可能性がある」と説明している。

　「高度な手法を用いた標的型攻撃」と表現されていることから、国家主体の脅威アクターが関与していた可能性が高いと考えられる。西側諸国の視点では、中国、イラン、北朝鮮、ロシアといった国家の関与が疑われる傾向にある。しかし、Appleのデバイスは世界中で広く利用されており、他の国々や一部の民間企業も、同様の目的で脆弱性を探し出し、悪用することが知られている。

　イスラエルのサイバーテクノロジー企業NSO Groupがその一例で、過去にApple製品の複数の脆弱性を悪用していたことが明らかになっている。同社はスパイウェア「Pegasus」を開発し、サウジアラビア政府が暗殺したジャーナリストのジャマル・カショギ氏のスパイ活動に活用したことで知られている。

　こうした背景を踏まえると、一般のApple製品ユーザーが直ちに深刻な被害を受ける可能性は低いとも考えられる。しかし、サイバーセキュリティ企業Hackuityの戦略担当バイスプレジデントを務めるシルヴァン・コルテス氏は「全てのユーザーが適切な防御策を取るべきだ」と警告する。

　「この脆弱性は、iOS 17.2より前のバージョンを使用するユーザーにとって重大なリスクとなる。デバイスとデータの安全性、プライバシーを確保すため、可能な限り速やかに最新のOSへアップデートすることを強く推奨する」（コルテス氏）

（翻訳・編集協力：編集プロダクション雨輝）

Computer Weekly発　世界に学ぶIT導入・活用術

米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

TechTargetジャパントップセキュリティ