Apple

アップル社は、「極めて巧妙な」標的型攻撃に悪用されたというゼロデイ脆弱性を修正するための緊急セキュリティ・アップデートをリリースした。

「物理的な攻撃により、ロックされたデバイスのUSB制限モードが無効になる可能性があります。

「アップルは、この問題が特定の標的を絞った極めて巧妙な攻撃で悪用された可能性があるという報告を承知している。

USB制限モードは、デバイスが1時間以上ロックされている場合、USBアクセサリがデータ接続を作成するのをブロックするセキュリティ機能iOS 11.4.1で約7年前に導入)である。この機能は、GraykeyやCellebriteのようなフォレンジック・ソフトウェア(法執行機関によって一般的に使用されている)がロックされたiOSデバイスからデータを抽出するのをブロックするように設計されている。

11月、アップルは別のセキュリティ機能(”inactivity reboot “と名付けられた)を導入した。この機能は、長いアイドル時間の後にiPhoneを自動的に再起動させ、データを再暗号化し、フォレンジック・ソフトウェアによる抽出を困難にするものだ。

Appleが本日パッチを適用したゼロデイ脆弱性(CVE-2025-24200として追跡され、Citizen LabのBill Marczak氏によって報告された)は、iOS 18.3.1、iPadOS 18.3.1、およびiPadOS 17.7.5で対処された認証の問題で、状態管理が改善されている。

USB Restricted Mode bypass

このゼロデイが影響を与えるデバイスのリストは以下の通り:

  • iPhone XS以降、
  • iPad Pro 13インチ、iPad Pro 12.9インチ第3世代以降、iPad Pro 11インチ第1世代以降、iPad Air第3世代以降、iPad第7世代以降、iPad mini第5世代以降
  • iPad Pro 12.9インチ第2世代、iPad Pro 10.5インチ、iPad第6世代

この脆弱性が悪用されたのは標的型攻撃のみであったとしても、現在進行中の攻撃の可能性を阻止するために、本日のセキュリティ・アップデートを直ちにインストールすることを強く推奨する。

アップル社は野放し状態での悪用に関する詳細な情報をまだ提供していないが、Citizen Labのセキュリティ研究者は、ジャーナリスト、野党政治家、反体制派など、リスクの高い個人に対する標的型スパイウェア攻撃で使用されたゼロデイをたびたび公表している。

シチズン・ラボは、アップルが2023年9月の緊急セキュリティ・アップデートで修正し、完全にパッチが適用されたiPhoneをNSOグループの商用スパイウェア「Pegasus」に感染させるためのゼロクリック悪用チェーン(BLASTPASSと命名)の一部として悪用した、他の2つのゼロデイ(CVE-2023-41061およびCVE-2023-41064)を公開しています。

アップルは先月、iPhoneユーザーに対する攻撃で悪用されたとしてタグ付けされた今年初のゼロデイ脆弱性(CVE-2025-24085)を修正した。

2024年、同社は1月に最初の3月に2つの5月に4番目の、そして11月にさらに2つの、6つの積極的に悪用されるゼロデイにパッチを当てた。

その1年前の2023年、アップル社は悪用された20件のゼロデイ欠陥にパッチを適用した: