Appleが悪用された「Webkit」の脆弱性を修正 狙われたのは誰?:「iPhone」「iPad」に重大な脆弱性
2025年3月11日、AppleはWebKitの脆弱性「CVE-2025-24201」を修正するアップデートを公開した。この脆弱性は既に標的型攻撃で悪用されているが、どのユーザーが影響を受けるのか。
Appleは2025年3月11日(現地時間)、脆弱(ぜいじゃく)性「CVE-2025-24201」の修正および同社OS「iOS」「iPadOS」のアップデートを発表した。今回のアップデートは、既に実際のサイバー攻撃で悪用された脆弱性に対処するものだ。
通常、Appleは攻撃者による悪用を防ぐため、脆弱性に関する技術的情報を提供しない傾向にあり、今回についてもその詳細は最小限にとどめられている。この脆弱性はどのようなものなのか、そして誰に影響を及ぼすのかを解説する。
Appleが「Webkit」の脆弱性を修正 狙われたのは誰?
Appleが公開したアップデートは以下の通り。
- iOS 18.3.2
- iPadOS 18.3.2
- macOS Sequoia 15.3.2
- visionOS 2.3.2
- Safari 18.3.1
Appleによると、今回の脆弱性は「WebKit」(Webサイトを表示させるためのレンダリングエンジン群)に影響を及ぼすもので、確保したメモリ領域外にデータを書き込んでしまう「境界外書き込み」の脆弱性だ。Webブラウザ「Safari」やAppleの公式アプリケーションストア「App Store」、メールなどに影響を与える可能性がある。
「悪意のあるWebコンテンツが、WebKitの保護機能(サンドボックス)を突破する可能性がある」とAppleは説明する。この問題は、2023年12月に公開した「iOS 17.2」でブロックした攻撃に対する追加の修正でもあるという。
AppleはCVE-2025-24201が実際に悪用されていたことを確認し、その後対策を講じたと明らかにしている。声明では「iOS 17.2より前のバージョンを使用する特定の個人を標的とした、極めて高度な手法を用いた標的型攻撃が用いられた可能性がある」と説明している。
「高度な手法を用いた標的型攻撃」と表現されていることから、国家主体の脅威アクターが関与していた可能性が高いと考えられる。西側諸国の視点では、中国、イラン、北朝鮮、ロシアといった国家の関与が疑われる傾向にある。しかし、Appleのデバイスは世界中で広く利用されており、他の国々や一部の民間企業も、同様の目的で脆弱性を探し出し、悪用することが知られている。
イスラエルのサイバーテクノロジー企業NSO Groupがその一例で、過去にApple製品の複数の脆弱性を悪用していたことが明らかになっている。同社はスパイウェア「Pegasus」を開発し、サウジアラビア政府が暗殺したジャーナリストのジャマル・カショギ氏のスパイ活動に活用したことで知られている。
こうした背景を踏まえると、一般のApple製品ユーザーが直ちに深刻な被害を受ける可能性は低いとも考えられる。しかし、サイバーセキュリティ企業Hackuityの戦略担当バイスプレジデントを務めるシルヴァン・コルテス氏は「全てのユーザーが適切な防御策を取るべきだ」と警告する。
「この脆弱性は、iOS 17.2より前のバージョンを使用するユーザーにとって重大なリスクとなる。デバイスとデータの安全性、プライバシーを確保すため、可能な限り速やかに最新のOSへアップデートすることを強く推奨する」(コルテス氏)
(翻訳・編集協力:編集プロダクション雨輝)
Computer Weekly発 世界に学ぶIT導入・活用術
米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.