Appleは2025年2月11日(月)、iOSとiPadOSに存在する重大な脆弱性(CVE-2025-24200)に対する緊急セキュリティアップデートをリリースしました。
この脆弱性は、物理的なアクセスによってロックされたデバイスのUSB制限モードを無効化できる認証の問題です。USB制限モードは、デバイスがロックされてから1時間以上経過すると、USBポートを充電専用に制限し、データの読み取りや書き込みを完全にブロックする重要なセキュリティ機能です。
トロント大学Munk SchoolのThe Citizen Lab上級研究員Bill Marczak氏によって発見されたこの脆弱性は、特定の標的に対する高度な攻撃で実際に悪用された可能性があることが報告されています。
from:Apple Patches Actively Exploited iOS Zero-Day CVE-2025-24200 in Emergency Update
【編集部解説】
セキュリティの現状と影響
今回のセキュリティ脆弱性は、スマートフォンの物理的なセキュリティに関する重要な課題を浮き彫りにしています。
USB制限モードは、2018年にiOS 11.4.1で導入された重要なセキュリティ機能です。この機能は、主に法執行機関が使用するCellebriteやGrayKeyなどのデジタルフォレンジックツールからデバイスを保護することを目的としていました。
今回発見された脆弱性(CVE-2025-24200)は、物理的なアクセスによってこの保護機能を無効化できてしまう深刻な問題です。特に注目すべきは、Appleが「極めて高度な攻撃」という異例の表現を使用している点です。
商用スパイウェアの脅威
この脆弱性は、NSO GroupのPegasusなどの商用スパイウェアベンダーによって悪用される可能性が指摘されています。実際、The Citizen Labは2023年だけでも20件のゼロデイ脆弱性を発見しており、その多くが商用スパイウェアに関連していました。
特に懸念されるのは、このような脆弱性が高額で取引されている現実です。セキュリティ専門家によると、このような脆弱性の取引額は最大1000万ドルにも達する可能性があります。
企業のセキュリティ対応
Appleの対応は迅速でした。脆弱性が報告されてから数日以内に修正パッチをリリースし、影響を受ける可能性のあるすべてのデバイスに対して更新プログラムを提供しています。
今後の展望と対策
このような脆弱性は、モバイルデバイスのセキュリティにおける「物理的アクセス」の重要性を再認識させるものとなっています。特に、公共の充電ステーションや無料の充電ケーブルなど、一見無害に見える設備が攻撃の入り口となる可能性があることを示唆しています。
今後は、USB制限モードのような物理的セキュリティ機能の重要性がさらに高まると予想されます。また、Appleが2022年に導入したロックダウンモードのような、より強力なセキュリティ機能の需要も増加するでしょう。
企業や組織においては、デバイスの物理的セキュリティに関するポリシーの見直しが必要となるかもしれません。特に、修理店での対応や、公共の場所でのデバイス使用に関する新たなガイドラインの策定が求められる可能性があります。