Apple、ゼロデイ脆弱性を修正する緊急セキュリティアップデートを公開

Appleは、新たに発見されたゼロデイ脆弱性を修正する緊急セキュリティアップデートを公開しました。この脆弱性は高度に洗練された標的型攻撃で悪用されており、CVE-2025-24200として追跡されています。攻撃者はこの脆弱性を利用してUSB制限モードを回避できる可能性があり、ロックされたデバイスへの不正なデータアクセスを防ぐiOSの重要なセキュリティ機能が危険にさらされていました。

このゼロデイは、Citizen Labのビル・マルチャク氏によって発見・報告されました。同氏は、ジャーナリスト、政治的反体制派、活動家などのハイリスクな個人を標的とするスパイウェアの脅威を暴くことで知られています。

Appleのセキュリティ勧告によると、この脆弱性により、物理攻撃によってロックされたiPhoneやiPadのUSB制限モードを無効化できる可能性があり、機密データが漏洩する恐れがあります。

USB制限モードとは？

USB制限モードは、iOS 11.4.1で初めて導入された機能で、GrayKeyやCellebriteなどのフォレンジックツールによるロックされたiOSデバイスからのデータ抽出を防ぐことを目的としています。
iPhoneやiPadが1時間以上ロックされた状態が続くと、USBアクセサリとのデータ接続が遮断され、不正なデータ抽出が阻止されます。

Appleは2024年11月、さらなるセキュリティ強化として、「非アクティブ時の自動再起動」機能を導入しました。これにより、iPhoneが長時間使用されない場合に自動的に再起動し、データを再暗号化することでフォレンジック解析をより困難にします。

この脆弱性の影響を受けるAppleデバイス

このゼロデイ脆弱性は、以下の幅広いAppleデバイスに影響を与えます：

• iPhones: iPhone XS以降
• iPads:
  • iPad Pro 13インチ
  • iPad Pro 12.9インチ（第3世代以降）
  • iPad Pro 11インチ（第1世代以降）
  • iPad Air（第3世代以降）
  • iPad（第7世代以降）
  • iPad mini（第5世代以降）
  • iPad Pro 12.9インチ（第2世代）、iPad Pro 10.5インチ、iPad（第6世代）

Appleは、この問題をiOS 18.3.1、iPadOS 18.3.1、およびiPadOS 17.7.5での状態管理の改善によって修正しました。

Appleの推奨事項

CVE-2025-24200の脆弱性は、これまでのところ標的型攻撃でのみ悪用されていますが、Appleはすべてのユーザーに最新のセキュリティアップデートをインストールするよう強く推奨しています。

Citizen Labは過去にも、スパイウェア攻撃に悪用されたゼロデイ脆弱性を複数報告しています。

• BLASTPASS攻撃チェーン（2023年9月）：NSO GroupのPegasusスパイウェアを使用し、完全に最新のiPhoneを感染させた。
• CVE-2025-24085：2025年最初のゼロデイ攻撃として記録され、先月修正された。

Appleは積極的に悪用されているゼロデイ脆弱性に対し、継続的にパッチを提供しています。特に、過去2年間で脅威の数が大幅に増加しています。

• 2025年（現時点）: 2件のゼロデイ脆弱性を修正
• 2024年: 6件のゼロデイ脆弱性を修正
• 2023年: 20件のゼロデイ脆弱性を修正

2023年に特に深刻だった攻撃には以下が含まれます：

• BLASTPASS ゼロクリック攻撃（CVE-2023-41061, CVE-2023-41064）：2023年9月
• WebKitの複数のゼロデイ脆弱性：リモートコード実行を可能にする脆弱性

Appleは、今回の脆弱性が誰を標的としたものかは明らかにしていません。しかし、過去の事例を考慮すると、この攻撃は国家が関与するスパイウェア作戦の一環である可能性が高いと考えられます。

Appleは今後もセキュリティ対策を強化していくとしていますが、攻撃手法が高度化しているため、特にハイリスクなユーザー（ジャーナリスト、活動家、政治関係者など）は警戒を怠らず、すぐに最新のアップデートを適用することが重要です。