2025年3月11日、AppleはWebKitの脆弱性「CVE-2025-24201」を修正するアップデートを公開した。この脆弱性は既に標的型攻撃で悪用されているが、どのユーザーが影響を受けるのか。
Appleは2025年3月11日(現地時間)、脆弱(ぜいじゃく)性「CVE-2025-24201」の修正および同社OS「iOS」「iPadOS」のアップデートを発表した。今回のアップデートは、既に実際のサイバー攻撃で悪用された脆弱性に対処するものだ。
通常、Appleは攻撃者による悪用を防ぐため、脆弱性に関する技術的情報を提供しない傾向にあり、今回についてもその詳細は最小限にとどめられている。この脆弱性はどのようなものなのか、そして誰に影響を及ぼすのかを解説する。
Appleが公開したアップデートは以下の通り。
Appleによると、今回の脆弱性は「WebKit」(Webサイトを表示させるためのレンダリングエンジン群)に影響を及ぼすもので、確保したメモリ領域外にデータを書き込んでしまう「境界外書き込み」の脆弱性だ。Webブラウザ「Safari」やAppleの公式アプリケーションストア「App Store」、メールなどに影響を与える可能性がある。
「悪意のあるWebコンテンツが、WebKitの保護機能(サンドボックス)を突破する可能性がある」とAppleは説明する。この問題は、2023年12月に公開した「iOS 17.2」でブロックした攻撃に対する追加の修正でもあるという。
AppleはCVE-2025-24201が実際に悪用されていたことを確認し、その後対策を講じたと明らかにしている。声明では「iOS 17.2より前のバージョンを使用する特定の個人を標的とした、極めて高度な手法を用いた標的型攻撃が用いられた可能性がある」と説明している。
「高度な手法を用いた標的型攻撃」と表現されていることから、国家主体の脅威アクターが関与していた可能性が高いと考えられる。西側諸国の視点では、中国、イラン、北朝鮮、ロシアといった国家の関与が疑われる傾向にある。しかし、Appleのデバイスは世界中で広く利用されており、他の国々や一部の民間企業も、同様の目的で脆弱性を探し出し、悪用することが知られている。
イスラエルのサイバーテクノロジー企業NSO Groupがその一例で、過去にApple製品の複数の脆弱性を悪用していたことが明らかになっている。同社はスパイウェア「Pegasus」を開発し、サウジアラビア政府が暗殺したジャーナリストのジャマル・カショギ氏のスパイ活動に活用したことで知られている。
こうした背景を踏まえると、一般のApple製品ユーザーが直ちに深刻な被害を受ける可能性は低いとも考えられる。しかし、サイバーセキュリティ企業Hackuityの戦略担当バイスプレジデントを務めるシルヴァン・コルテス氏は「全てのユーザーが適切な防御策を取るべきだ」と警告する。
「この脆弱性は、iOS 17.2より前のバージョンを使用するユーザーにとって重大なリスクとなる。デバイスとデータの安全性、プライバシーを確保すため、可能な限り速やかに最新のOSへアップデートすることを強く推奨する」(コルテス氏)
(翻訳・編集協力:編集プロダクション雨輝)
米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
「Box」に移行してもなくならない「お守り仕事」を根本から効率化するには? (2025/1/23)
これからのセキュリティ対策に必要な「防御側の優位性」、AIはどう実現する? (2025/1/22)
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。