2025年4月1日、Appleは複数のゼロデイ 脆弱性に対する修正パッチを旧バージョンのOSにも適用(バックポート)したことを発表しました。これにより、過去モデルのiPhoneやMacを使用しているユーザーも深刻な脆弱性から保護されることになります。
目次
バックポートされたゼロデイ脆弱性(旧機種向け修正)
CVE-2025-24200:USB制限モードのバイパス(Citizen Lab報告)
モバイルフォレンジックツールがUSB制限モードを無効化できるバグ。
影響:ロックされたiPhoneのセキュリティ回避。
対応済バージョン:iOS/iPadOS 16.7.11、15.8.4
CVE-2025-24201:WebKitのサンドボックス回避
細工されたWebコンテンツによりWebKitのサンドボックスを脱出。
影響:リモートから任意コード実行の可能性。
攻撃状況:「極めて洗練された攻撃」で悪用確認済み
対応済バージョン:iOS/iPadOS 16.7.11、15.8.4
CVE-2025-24085:Core Mediaにおける特権昇格
ローカルでの権限昇格によりシステム権限が奪取可能。
対応済バージョン:iPadOS 17.7.6、macOS 14.7.5(Sonoma)、13.7.5(Ventura)
最新OS向けのアップデート内容(2025年4月1日時点)
iOS / iPadOS 18.4
修正件数:77件
主な脆弱性:
-
CVE-2025-30456:アプリサンドボックスのバイパス(root昇格)
-
CVE-2025-24097:任意ファイルのメタデータ参照
-
CVE-2025-31182:任意ファイル削除
macOS Sequoia 15.4
修正件数:123件
主な脆弱性:
-
CVE-2025-24228:カーネル権限での任意コード実行
-
CVE-2025-24267:root権限への昇格
-
CVE-2025-24178:サンドボックス回避
Safari 18.4
修正件数:13件(WebKit中心)
主な脆弱性:
-
CVE-2025-24213:メモリ破損
-
CVE-2025-30427:Use-After-Free
-
CVE-2025-24180:WebAuthnでの認証バグ
情報システム部門が取るべき対応
社用携帯で利用している場合MDMなどを通じて、アップデートする事をお勧めします。
| 対応項目 | 内容 |
|---|---|
| OSバージョンの確認 | iOS/macOS/iPadOSのバージョンが対象かチェック |
| 最新パッチ適用 | iOS 18.4、iPadOS 18.4、macOS Sequoia 15.4等 |
| 管理端末のバージョン棚卸し | 古いOSのまま運用されている端末がないか洗い出し |
| WebKit使用アプリの脆弱性確認 | 独自ブラウザや埋め込みビューを使用するアプリでの影響評価 |
| 自動アップデート設定の見直し | 設定ポリシーにおいて自動更新が無効化されていないか確認 |
今回のアップデートが重要な理由
-
ゼロデイ脆弱性が実際に攻撃で使われたことが明確になっている
-
一部は高度な攻撃者(国家系を含む)が関与している可能性
-
旧世代OSに対しても対応したAppleの迅速な対応は評価されるが、更新適用は利用者次第
緊急性の高い対応を推奨
Appleが今回明示的に「極めて高度な攻撃に悪用された」と表現したCVE-2025-24201は、WebKitを利用するすべてのアプリケーションに波及するリスクを持ちます。
ゼロデイ攻撃が報告された以上、対象となる端末へのパッチ適用は最優先事項です。
参照
Apple backports zero-day patches to older iPhones and Macs
関連記事
Apple、極めて高度なサイバー攻撃に悪用された脆弱性を修正(CVE-2025-24201)
AppleのUSB制限モードが回避される深刻な脆弱性、極めて高度な攻撃で悪用が可能(CVE-2025-24200)
Apple、英国政府のバックドア要求によりiCloudのエンドツーエンド暗号化を提供停止
macOS カーネルの脆弱性のPoC エクスプロイトが公開(CVE-2025-24118 )
macOSの脆弱性「HM Surf」でカメラやマイクの機密データへ不正アクセスが可能に
EDR製品の導入検討中の方必見!選び方から導入要件まで解説 製品比較表付き
Appleがカスペルスキーへのバグ報奨金支払いを拒否
iOSとAndroidに対応したトロイの木馬(GoldPickaxe)を発見|顔認証データやSMSも傍受
WatchGuardで重大な脆弱性が発見(CVE-2024-6592,CVE-2024-6593)