Appleが悪用された「Webkit」の脆弱性を修正 狙われたのは誰?「iPhone」「iPad」に重大な脆弱性

2025年3月11日、AppleはWebKitの脆弱性「CVE-2025-24201」を修正するアップデートを公開した。この脆弱性は既に標的型攻撃で悪用されているが、どのユーザーが影響を受けるのか。

2025年04月04日 07時00分 公開
[Alex ScroxtonTechTarget]

関連キーワード

Apple | OS | 脆弱性対策 | セキュリティ


 Appleは2025年3月11日(現地時間)、脆弱(ぜいじゃく)性「CVE-2025-24201」の修正および同社OS「iOS」「iPadOS」のアップデートを発表した。今回のアップデートは、既に実際のサイバー攻撃で悪用された脆弱性に対処するものだ。

 通常、Appleは攻撃者による悪用を防ぐため、脆弱性に関する技術的情報を提供しない傾向にあり、今回についてもその詳細は最小限にとどめられている。この脆弱性はどのようなものなのか、そして誰に影響を及ぼすのかを解説する。

Appleが「Webkit」の脆弱性を修正 狙われたのは誰?

会員登録(無料)が必要です

 Appleが公開したアップデートは以下の通り。

  • iOS 18.3.2
  • iPadOS 18.3.2
  • macOS Sequoia 15.3.2
  • visionOS 2.3.2
  • Safari 18.3.1

 Appleによると、今回の脆弱性は「WebKit」(Webサイトを表示させるためのレンダリングエンジン群)に影響を及ぼすもので、確保したメモリ領域外にデータを書き込んでしまう「境界外書き込み」の脆弱性だ。Webブラウザ「Safari」やAppleの公式アプリケーションストア「App Store」、メールなどに影響を与える可能性がある。

 「悪意のあるWebコンテンツが、WebKitの保護機能(サンドボックス)を突破する可能性がある」とAppleは説明する。この問題は、2023年12月に公開した「iOS 17.2」でブロックした攻撃に対する追加の修正でもあるという。

 AppleはCVE-2025-24201が実際に悪用されていたことを確認し、その後対策を講じたと明らかにしている。声明では「iOS 17.2より前のバージョンを使用する特定の個人を標的とした、極めて高度な手法を用いた標的型攻撃が用いられた可能性がある」と説明している。

 「高度な手法を用いた標的型攻撃」と表現されていることから、国家主体の脅威アクターが関与していた可能性が高いと考えられる。西側諸国の視点では、中国、イラン、北朝鮮、ロシアといった国家の関与が疑われる傾向にある。しかし、Appleのデバイスは世界中で広く利用されており、他の国々や一部の民間企業も、同様の目的で脆弱性を探し出し、悪用することが知られている。

 イスラエルのサイバーテクノロジー企業NSO Groupがその一例で、過去にApple製品の複数の脆弱性を悪用していたことが明らかになっている。同社はスパイウェア「Pegasus」を開発し、サウジアラビア政府が暗殺したジャーナリストのジャマル・カショギ氏のスパイ活動に活用したことで知られている。

 こうした背景を踏まえると、一般のApple製品ユーザーが直ちに深刻な被害を受ける可能性は低いとも考えられる。しかし、サイバーセキュリティ企業Hackuityの戦略担当バイスプレジデントを務めるシルヴァン・コルテス氏は「全てのユーザーが適切な防御策を取るべきだ」と警告する。

 「この脆弱性は、iOS 17.2より前のバージョンを使用するユーザーにとって重大なリスクとなる。デバイスとデータの安全性、プライバシーを確保すため、可能な限り速やかに最新のOSへアップデートすることを強く推奨する」(コルテス氏)

(翻訳・編集協力:編集プロダクション雨輝)

Computer Weekly発 世界に学ぶIT導入・活用術

米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

製品資料 ゾーホージャパン株式会社

システムに侵入され深刻な被害も、サービスアカウントの不正利用をどう防ぐ?

サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。

製品資料 ゾーホージャパン株式会社

“人間ではない”サービスアカウントに潜む、3つのセキュリティリスクとは?

サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。

製品資料 Splunk Services Japan合同会社

デジタル決済の普及で金融犯罪や不正行為が急増、被害を防ぐために必要なものは

eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。

製品資料 Splunk Services Japan合同会社

金融犯罪を未然に防止、システムが複雑化する中で取るべき対策とその実装方法

金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。

製品資料 グーグル合同会社

ゼロトラストセキュリティのハードルを下げる、“ブラウザ”ベースという視点

クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news130.jpg

Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...

news040.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。