CISAがAppleのiOSとMicrosoftの脆弱性の積極的な悪用を警告

2025年4月18日、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、AppleおよびMicrosoft製品に存在する3件の重大なゼロデイ脆弱性がすでに悪用されているとして、「既知の悪用脆弱性カタログ（KEV）」に追加。連邦政府機関に対し、5月8日までの修正適用を義務付ける緊急対応を発出しました。

企業や一般ユーザーにとっても見過ごせない内容であり、即時の対応が求められています。

Apple製品：音声処理と認証回避の脆弱性が標的に

Apple製品には以下2つのゼロデイ脆弱性が報告され、すでに標的型攻撃に利用された痕跡が確認されています。

• CVE-2025-31200：CoreAudioのメモリ破損に起因し、細工された音声ストリームを処理することでリモートコード実行が可能

• CVE-2025-31201：RPAC（Remote Procedure Authentication Component）に存在し、Pointer Authentication Codes（PAC）を回避することで任意の読み書きや権限昇格が可能

これらの脆弱性はiOS、macOS、tvOS、iPadOS、visionOSといったApple全製品に広く影響しており、Appleは4月中旬に緊急パッチをリリースしています（例：iOS 18.4.1、macOS Sequoia 15.4.1など）。

特にCoreAudioの脆弱性に関しては、特定のiOSユーザーを狙った非常に高度な攻撃が報告されており、政府関係者やジャーナリストなどがターゲットになった可能性も懸念されています。

Microsoft Windows：NTLMハッシュ漏洩脆弱性が国家的攻撃に利用か

もう1つの深刻な脆弱性は、Microsoft WindowsにおけるNTLMハッシュの漏洩に関する脆弱性（CVE-2025-24054）です。

• 脆弱性内容：NTLM認証の処理において、ハッシュ情報を攻撃者が取得できてしまうなりすまし（Spoofing）脆弱性

• 影響：NTLMv2-SSPハッシュを収集されることで、リレー攻撃やアカウント乗っ取りのリスクが増大

Microsoftは既にパッチを公開していますが、Check Pointの調査では3月20〜25日の期間にこの脆弱性を悪用した攻撃が多数発生。特にポーランドおよびルーマニアの政府機関・企業が標的となり、Dropboxリンクを使ったスパムメールにより感染が拡大しました。

加えて、ロシアの国家支援型APTグループ「APT28（Fancy Bear）」と関連するIPアドレスが関与していたことも報告されています。

CISAの対応と推奨事項

CISAはこれらのゼロデイ脆弱性の深刻性を踏まえ、米連邦政府の機関に対し、5月8日までのパッチ適用を必須化。一般企業や個人に対しても、次の対応が推奨されています

Apple製品利用者向け

• iOS、macOS、tvOS、iPadOS、visionOSの最新セキュリティアップデートを速やかに適用

• 特にiOS利用者で標的になりやすい職業（政府関係者、報道関係者、活動家など）の方は要注意

Windows利用者・管理者向け

• 4月のPatch Tuesdayで提供されたCVE-2025-24054の修正プログラムを即時適用

• NTLM認証を使用している環境では、Kerberosへの移行や多要素認証の導入を検討

• 認証ログの監視とハッシュ取得の兆候を常に確認

ゼロデイ脆弱性への備えは“継続的な運用管理”が鍵

今回のAppleおよびMicrosoftに関するゼロデイ攻撃は、“脆弱性は待ってくれない”という現実を改めて突き付けています。特にApple製品においても継続的な標的型攻撃が増加傾向にあることは、日本国内のCISOやIT部門にとっても無視できないサインです。

また、NTLMなどのレガシー認証方式の継続使用リスクも、改めて可視化された形となりました。脆弱性管理体制の強化と、脅威インテリジェンスとの連携が今後ますます重要となるでしょう。