2025年2月10日 AppleはiOSおよびiPadOS向けに緊急パッチをリリースし、USB Restricted Mode(USB制限モード)のバイパスを可能にする重大なセキュリティ欠陥(CVE-2025-24200)が悪用されていたことを公表しました。
影響を受けるバージョン
iOS 18.3.0以前 / iPadOS 18.3.0以前
修正バージョン
iOS 18.3.1およびiPadOS 18.3.1で修正済み
影響を受ける端末
- iPhone XS以降
- iPad Pro 13インチ・12.9インチ(第3世代以降)
- iPad Pro 11インチ(第1世代以降)
- iPad Air(第3世代以降)
- iPad(第7世代以降)
- iPad mini(第5世代以降)
なお、本脆弱性は、Citizen Lab(トロント大学Munk School)所属のBill Marczak氏によって発見されました。
脆弱性 CVE-2025-24200の概要
ロックされた iPhone または iPad に物理的にアクセスできる攻撃者が、重要な保護メカニズムである USB 制限モードを無効にして、パッチが適用されていない iPhone にアクセスできるようになります。
Bill Marczak 氏によるとこの脆弱性が国家レベルの監視に使用されたことを示唆しています。
参照
Apple Confirms USB Restricted Mode Exploited in ‘Extremely Sophisticated’ Attack
About the security content of iOS 18.3.1 and iPadOS 18.3.1
関連記事
セキュリティインシデント 事例【2024年】
macOS カーネルの脆弱性のPoC エクスプロイトが公開(CVE-2025-24118 )
Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)
7-Zipの脆弱性がゼロデイ攻撃に悪用されている(CVE-2025-0411)
北朝鮮のIT労働者が日本企業で偽装就労か 実態とセキュリティリスクを解説
Appleがカスペルスキーへのバグ報奨金支払いを拒否
7-ZipのMark-of-the-Webを回避する脆弱性のPoCが公開される(CVE-2025-0411)
7-ZipのMark-of-the-Webを回避する脆弱性が修正(CVE-2025-0411)
Google がChromeの重大な脆弱性を修正 (CVE-2025-0444,CVE-2025-0445)