iPhoneのBootROM 脆弱性「Usbliter8」が数百万台のiPhoneに影響|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月25日更新日時: 2026年06月25日

欧州のサイバーセキュリティ研究会社Paradigm Shiftは2026年6月18日、Apple A12およびA13チップを搭載したiPhoneのBootROM（SecureROM）に存在する脆弱性を突くエクスプロイト「Usbliter8」の詳細とPoC（概念実証コード）を公開しました。

同エクスプロイトはUSBコントローラーのハードウェアバグとデバイスファームウェアの設定上の弱点を組み合わせたもので、物理的なUSBアクセスにより任意コードをOSが起動する前の最低レベルで実行できます。BootROMに存在するバグであるため、ソフトウェアアップデートによる修正は原理的に不可能であり、影響を受けるiPhone XS・XR・11シリーズおよびApple Watch Series 4/5はハードウェアが存続する限りこの脆弱性を抱え続けることになります。AppleはParadigm Shiftとの開示前の協調的な情報共有を受けたとされていますが、本記事執筆時点で公式な声明は出ていません。

サマリー

エクスプロイト名：Usbliter8
公開日：2026年6月18日（Paradigm Shiftブログ）、6月22日（SecurityWeek報道）
研究者：Paradigm Shift Technology（欧州）
PoC：公開済み（GitHub: prdgmshift/usbliter8）
脆弱性の種別：USBコントローラー（DWC2）のハードウェアバグ＋DARTバイパスモードの組み合わせ
攻撃に必要なもの：物理的なUSBアクセス、Raspberry Pi Pico 2等のマイコンボード
影響チップ：Apple A12（iPhone XS・XR）、Apple A13（iPhone 11シリーズ）、Apple S4/S5（Apple Watch Series 4/5）
影響なし：A11以前（iPhoneX以前）、A14以降（iPhone 12以降）
攻撃結果：Appleの署名検証をバイパスし、OS起動前の最低レベルで任意コード実行、未署名ファームウェアの起動、セキュリティレベルの低下（デモーション）が可能
ユーザーデータへの直接アクセス：不可（SEPは直接の侵害対象外）、ただしSEPへの広範な攻撃経路が開かれる
パッチの可否：ソフトウェアアップデートでの修正は不可（BootROMに焼き込まれたハードウェアバグ）
類似事例：2019年公開のCheckm8（A5〜A11を対象としたBootROMエクスプロイト）

1 何が起きたか
2 概要
3 原因
4 SEPは直接の対象ではないが「より広い攻撃経路が開かれる」
5 企業・情報システム部門への影響と対応
6 FAQ

何が起きたか

Paradigm Shiftは2026年6月18日に詳細な技術レポートとPoC実装をGitHubで公開しました。Appleへは公開前に情報を提供済みであり、Appleのプロダクトセキュリティチームとの協調的な開示プロセスが行われたとされています。

今回のUsbliter8は、2019年に公開されたCheckm8というBootROMエクスプロイトと本質的に同じ種類の攻撃です。Checkm8はA5からA11チップ（iPhone 4s〜iPhone X）を対象とした当時の発見であり、ソフトウェアで修正できないことから対象デバイスは永続的にジェイルブレイクやフォレンジックツールへの利用が可能な状態に置かれ続けています。Usbliter8はその後継世代にあたるA12/A13チップ（iPhone XS/XR/11）に同種の問題が存在することを7年後になって明らかにしたものです。

Paradigm Shiftは「本研究とPoC公開を通じて、このクラスのハードウェア脆弱性の現実的な影響を記録し、現代のBootROMセキュリティに対する理解を深め、より新しいSecureROM世代においても巧妙なハードウェアの欠陥が残存していることを示すことを目的とした」と説明しています。影響を受けるユーザーへの現実的な緩和策として、より新しいハードウェアへの移行が最も効果的な手段と明示しています。

概要

攻撃者がUsbliter8を実行するために必要なものは、Raspberry Pi Pico 2のような安価なマイコンボードと、対象のiPhoneへの物理的なUSBアクセスだけです。攻

撃者がマイコンボードを接続し、細工したUSBセットアップパケットを送信することで、境界外書き込みが発動します。これによってメモリ内の重要なデータが上書きされ、最終的にプロセッサを乗っ取り、特権を昇格させ、フルシステム権限で任意コードを実行できる状態に至ります。

A12チップ（iPhone XS/XR）では、PAC（Pointer Authentication Code）が実装されていないため、スタック上の保存済みLR（リンクレジスタ）を上書きするだけでPC制御を獲得できます。ROP（Return-Oriented Programming）チェーンは非常に小さく、ブートトランポリンが常に固定アドレスに配置されるためASLRの影響を受けません。

A13チップ（iPhone 11シリーズ）ではPACが導入されていますが、Paradigm Shiftの調査によれば有効化されているのはIBキーのみで、意図した全ての認証機能が機能していない状態でした。より複雑な多段階の技術（ヒープメタデータチェックサムの回避、DART関連データの上書き、パニックカウンターの操作、ROMのSRAMへのコピーと再起動）を経て最終的にEL1権限でのコード実行を達成しています。

エクスプロイトが成功するとAppleのブートチェーンの信頼連鎖が破られ、以下が可能になります。OSが起動する前の最低レベルでの任意コード実行、未署名ファームウェアの起動、SoCのプロダクションモードの一時的な低下（デモーション）、カスタムUSBリクエストハンドラーの注入。これらは通常、法執行機関向けのモバイルフォレンジックベンダーや、ジェイルブレイクコミュニティが行うOS解析に活用される機能です。

原因

今回の脆弱性の根本は、AppleがSoCに採用しているSynopsys社製のDWC2 USBコントローラー自体に内在するバグです。

DWC2は、受け取ったUSBセットアップパケットを最大3つまで連続してメモリに保存します。4つ目のセットアップトランザクションを受け取ると、DMAベースアドレス（DOEPDMA レジスタ）をリセットして先頭に戻す設計になっています。このリセット処理は具体的にはDOEPDMAを24バイト減算することで実装されています。

問題はここから発生します。

コントローラーはパケットを書き込むたびに実際に書き込んだデータのサイズ分だけポインターを増分しますが、仕様上は8バイトの完全なセットアップパケットのみを想定した固定の24バイト減算が行われます。より小さいパケット（4バイトチャンク単位で保存）を受け取った場合、ポインターの増分量が固定の減算量と一致しなくなり、12バイト単位のバッファアンダーフロープリミティブが生じます。

このバグはDWC2コントローラー自体の問題であり、他のデバイスにも影響する可能性がありますが、特定の条件下でのみ悪用可能です。

A11では悪用できない理由は、A11のUSBドライバーがパケットを受け取るたびにソフトウェアでDMAアドレスを初期値にリセットしているためです。A12とA13ではこのソフトウェアリセット処理がなく、USB DARTがバイパスモードで設定されているためDMA経由でSRAMデータを自由に上書きできる状態になっています。A14以降では、SecureROM内でDARTが正しく設定されているためこの脆弱性は悪用できません。

つまりA12/A13は、コントローラーのハードウェアバグ単独では危険ではなく、DARTがバイパスモードになっているというファームウェア設定上の要因が重なることで初めて実用的なエクスプロイトが成立します。BootROMは読み取り専用メモリに焼き込まれているため、どちらの問題もソフトウェアアップデートで修正する方法がありません。

SEPは直接の対象ではないが「より広い攻撃経路が開かれる」

Paradigm Shiftの開示において、ユーザーデータへの直接アクセスという観点では重要な但し書きがあります。UsbliterはiPhoneのセキュリティの核心部分であるSEP（Secure Enclave Processor）を直接侵害するものではありません。SEPはメインのアプリケーションプロセッサとは独立したチップで動作しており、生体認証情報・決済情報・暗号鍵といったきわめて機密性の高いデータを保護しています。

しかし研究チームは「Usbliter8はSEP自体には影響しないが、Secure Enclaveを侵害するための広範な攻撃経路を開く」と明記しています。BootROMレベルでの完全な制御を得た攻撃者は、SEPとメインプロセッサの境界に対してより高度な攻撃を試みるための足がかりを手にすることになるわけです。SEPが保護するデータへの直接アクセスが即座に成立するわけではありませんが、この脆弱性が存在するデバイスのセキュリティ保証は根本的に弱まっていると考えるべきです。

企業・情報システム部門への影響と対応

ソフトウェアアップデートで修正できない以上、この脆弱性に対して企業がとれる現実的な対応はデバイス管理と物理的なセキュリティに集中します。

まず影響機器の把握が最初のステップです。MDM（モバイルデバイス管理）で管理している会社支給のiPhoneやApple Watchが、A12（iPhone XS・XR）またはA13（iPhone 11シリーズ）、S4/S5（Apple Watch Series 4/5）に該当するかを確認してください。BYODポリシーで業務利用を認めているiPhoneについても、これらのモデルが含まれているかを把握することが重要です。

次に攻撃条件の理解です。Usbliter8は物理的なUSBアクセスが不可欠であり、ネットワーク経由のリモート攻撃は現時点では成立しません。攻撃に使うUSBデバイスを対象のiPhoneに接続し、複数の細工したパケットを送信する必要があります。このため、デバイスが攻撃者の手に渡らない環境では実際のリスクは限定的です。

物理的なセキュリティの強化として、業務上の機密情報を扱うデバイスに対するUSBポートへの接続制限（MDMによるUSBアクセサリの制限設定）や、デバイスを無人で放置しない管理フローの徹底が有効です。iPhoneにはAppleのUSB制限モード（USB Restricted Mode）という機能があり、一定時間ロックされた状態ではUSBデータ接続を無効にできます。これは本脆弱性の攻撃フローを遅らせる効果を持ちます（ただし回避された事例もあるため過信は禁物です）。

長期的な対策としてはハードウェアのリフレッシュです。業務上重要な情報を扱う職員のデバイスをA14以降（iPhone 12以降）に更新することが唯一の根本的な解決策です。デバイスの更新サイクルを検討している場合は、このリスクをリプレース判断の根拠の一つとして使うことができます。

フォレンジックや法執行機関の観点では、このエクスプロイトはCheckm8と同様に正規の調査目的に活用される可能性があります。法執行機関から対象デバイスの解析依頼を受ける可能性がある業種や、内部調査にスマートフォンのフォレンジックを利用する組織は、こうしたツールが実用的な水準で存在することを認識しておく必要があります。

FAQ

Q. iPhone 12以降のモデルは影響を受けますか？

A. 受けません。A14以降のチップ（iPhone 12以降）では、SecureROM内でDARTが正しく設定されているため、USB DMAバイパスができずエクスプロイトは動作しません。影響を受けるのはA12/A13/S4/S5チップのみです。

Q. Appleはこの脆弱性をソフトウェアアップデートで修正できますか？

A. できません。今回の脆弱性はBootROM（SecureROM）に焼き込まれたハードウェアバグに起因します。BootROMは読み取り専用メモリのためソフトウェアで書き換えることが不可能であり、Paradigm Shiftも「影響を受けるユーザーへの最も効果的な緩和策は、より新しいハードウェアへの移行」と明記しています。

Q. リモートから攻撃される可能性はありますか？

A. ありません。攻撃にはRaspberry Pi Pico 2のような特殊なUSBデバイスを対象のiPhoneに物理的に接続し、複数の細工したパケットを送信する必要があります。デバイスが手元にある間はリモートからの悪用は成立しません。

Q. Checkm8との違いは何ですか？

A. Checkm8は2019年に公開された同種のBootROMエクスプロイトで、A5からA11チップ（iPhone 4s〜iPhone X）を対象としていました。Usbliter8はCheckm8が影響しないA12/A13チップに対して発見された後継世代のBootROMエクスプロイトです。両者とも物理USBアクセスが必要で、ソフトウェアパッチ不可という点は共通しています。

Q. PoC（概念実証コード）が公開されていることで、悪用リスクは高まりますか？

A. PoCの公開により技術的な再現難易度は下がりますが、依然として物理アクセスと専用ハードウェアが必要である点はハードルとして残ります。現実的なリスクとしては、法執行機関や諜報機関が利用するフォレンジックツールベンダーが採用する可能性、またはジェイルブレイクコミュニティによる活用が最も想定しやすいシナリオです。

出典

当サイト関連記事