Apple、重大なiOSゼロデイCVE-2025-24200のパッチを適用

月曜日、Appleは、非常に高度な攻撃で積極的に悪用されていたiOSおよびiPadOSの重大なゼロデイ脆弱性を修正するための緊急セキュリティアップデートを展開しました。

この高いゼロデイ脆弱性はCVE-2025-24200として特定されており、AppleのiOSおよびiPadOSにおける認証の問題で、物理的な攻撃者がロックされたデバイスのUSB制限モードを無効にすることを可能にする可能性があります。

言い換えれば、この脆弱性は、ロックされたiOSまたはiPadOSデバイスのUSB制限モードを回避するための高度な物理攻撃を可能にする可能性があります。

知らない方のために、AppleのUSB制限モードは、iOS 11.4.1で導入されたセキュリティ機能で、USBアクセサリを介してiPhoneやiPadへの不正アクセスを防ぐためのものです。

このモードが有効になっていると、デバイスが過去1時間以内にロック解除されていない場合、Lightningポートに接続されたUSBアクセサリがデータ接続を行うことを防ぎます。

これにより、Lightningポートを介して接続するハッキングツールがパスコードや暗号化を回避することができなくなります。

一方、Appleはこの問題を認識しており、状態管理の改善により脆弱性を修正しました。

「 物理的な攻撃により、ロックされたデバイスのUSB制限モードが無効になる可能性があります。Appleは、この問題が特定のターゲットに対する非常に高度な攻撃で悪用された可能性があるとの報告を認識しています 、 と同社は月曜日に発表したアドバイザリー[( 1),( 2)]に記載しました。

クパチーノの巨人は、トロント大学のマンクセクールのシチズンラボのセキュリティ研究者ビル・マルチャクに、脆弱性を発見しAppleに報告したことを感謝しています。

CVE-2025-24200の脆弱性は、以下の幅広いAppleデバイスに影響を与えました：

• iPhone XS以降、iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第7世代以降、iPad mini第5世代以降

• iPad Pro 12.9インチ第2世代、iPad Pro 10.5インチ、iPad第6世代

Appleは、メモリ管理の改善を伴うソフトウェアアップデート（iOS 18.3.1、iPadOS 18.3.1、iPadOS 17.7.5）をリリースすることで、上記の脆弱性を解決しました。

Appleは、上記の脆弱性がどのように悪用されたかについての情報を提供していませんが、iOSおよびiPadOSユーザーに対して、潜在的なセキュリティの脅威を軽減するために、デバイスを最新バージョンに即座に更新するよう強く促しています。

さらに、自動更新を有効にして、デバイスに将来のパッチを遅滞なく受け取るようにしてください。

疑わしいリンクをクリックすることを避け、信頼できるソースからのみアプリをダウンロードして、脆弱性のリスクを減らしてください。

iPhoneまたはiPadのソフトウェアアップデートについては、設定 > 一般 > ソフトウェアアップデート > アップデートを確認してインストールしてください。