TokyoBlackHatNews

esecurityplanet.com 5分で読了

標的型iPhoneスパイウェア攻撃で悪用されたAppleのゼロデイ脆弱性

Appleは、これまで未知だった2件のゼロデイ脆弱性がiPhoneユーザーに対して実際に悪用されていたことを確認し、iOSおよびiPadOS全体にわたる緊急のセキュリティアップデートを促しました。 

これらの欠陥はAppleのWebKitブラウザエンジンに影響し、特定の個人を狙った高度なキャンペーンで使用されました。

脆弱性の1つであるCVE-2025-43529は、「…任意のコード実行につながる可能性がある」と、Appleはアドバイザリで述べています

初期侵入ベクターとしてのWebKitエクスプロイト

最も深刻な問題としてCVE-2025-43529として追跡されているものは、WebKitにおけるuse-after-free脆弱性で、デバイスが特別に細工されたWebコンテンツをレンダリングする際に、攻撃者が任意のコード実行を達成できるようにします。 

use-after-freeの欠陥は、解放された後のメモリが誤って再利用されることで発生し、攻撃者が古いポインタを操作して、攻撃者が制御するコードを実行できるようになります。 

WebKitの文脈では、悪意のあるWebページが通常のページレンダリング中にブラウザメモリを破壊できることを意味し、ページを訪問する以上の明示的なユーザー操作を必要としません。

2つ目の脆弱性であるCVE-2025-14174は、WebKitの処理ロジックにおける入力検証の不十分さに起因する、関連するメモリ破損の欠陥です。 

Appleは詳細なエクスプロイトの仕組みを公表していませんが、タイミングの近さと共通の攻撃面から、2つの脆弱性が連鎖して使用された可能性が高いことが強く示唆されます。 

高度なブラウザ攻撃では、攻撃者はしばしばメモリ破損バグとuse-after-free条件を組み合わせ、メモリ配置と実行フローをより確実に制御して、デバイス間でのエクスプロイトの安定性を高めます。

WebKitはSafariだけでなく、iOSおよびiPadOS全体の組み込みWebビューにおける基盤ブラウザエンジンでもあるため、悪用に成功すると、攻撃者にとって非常に信頼性の高い初期侵入ベクターとなります。 

WebKitを使用してWebコンテンツをレンダリングするアプリケーション(ブラウザ、メッセージングアプリ、アプリ内Webビューなど)は、悪意のあるコンテンツを読み込むだけで、ユーザーが悪用にさらされる可能性があります。

use-after-freeおよびメモリ破損の脆弱性は、サンドボックス、ポインタ認証、メモリ分離といった最新のプラットフォーム保護を回避するための追加のエクスプロイト・プリミティブと組み合わせられるため、高度な脅威アクターにとって特に価値があります。 

このケースでは、悪意のあるWebコンテンツがWebKit内の安全でないメモリ処理を引き起こし、攻撃者がブラウザのサンドボックス内でコードを実行できるようになります。 

そこから、後続の脆弱性(カーネルレベルの権限昇格の欠陥など)を連鎖させてサンドボックスを脱出し、オペレーティングシステムをより深く制御できるようになります。

Appleは、iOS 26のリリース前に両方の脆弱性が実環境で積極的に悪用されていたことを確認しており、公開されたPoCではなく、非公開のゼロデイエクスプロイトとして維持されていた可能性が高いことを示しています。 

この挙動は、高度な脅威アクターが高価値のモバイル・ゼロデイを、早期発見やパッチ適用のリスクがある大規模で機会主義的な攻撃に投入するのではなく、標的型の諜報・監視作戦のために温存するという、より広範な傾向と一致します。

モバイルリスクを低減する方法

多層的な防御(Defense-in-Depth)アプローチは、組織が露出と影響範囲の両方を減らすのに役立ちます。

  • MDMを通じて、iOSおよびiPadOSデバイスの迅速なパッチ適用を徹底する。
  • 繰り返しのクラッシュ、異常な閲覧アクティビティ、または悪用の試行を示す可能性のある不安定さなど、SafariおよびWebKitの異常な挙動について管理対象デバイスを監視する。
  • 管理されたSafariポリシーの適用、非管理のWebビューの制限、ネットワークレベルでの新規登録ドメインや既知の悪性ドメインのブロックにより、モバイルデバイスでのWebコンテンツ露出を制限する。
  • モバイルユーザーに対して最小権限アクセスを徹底し、機密アプリケーションに対してデバイス準拠チェックを要求し、高価値システムへのアクセスをセグメント化することで、侵害後の影響を低減する。
  • より厳格なブラウジング制御、強化されたデバイス構成を用い、組み込みWebビューに大きく依存するコンテンツ量の多いアプリやサードパーティ製アプリへのアクセスを制限することで、高リスク職務に対する保護を強化する。
  • 将来のモバイルゼロデイに備え、インシデント対応計画をテストし、迅速なデバイス隔離またはワイプ機能を有効化し、モバイルのテレメトリをIDおよびアクセスのアクティビティと相関させる。

これらのコントロールを組み合わせて適用することで、不必要な運用上の複雑さを増やすことなく、モバイルセキュリティを向上させられます。

標的型モバイル攻撃の台頭

このインシデントは、脅威環境におけるより大きな変化を浮き彫りにしています。モバイルプラットフォームはもはや二次的な標的ではなく、高度な攻撃における主要な侵入口となっています。 

WebKitのようなブラウザエンジンは引き続き高価値の攻撃面であり、ゼロデイエクスプロイトは、大規模で機会主義的なマルウェアキャンペーンよりも、標的型の監視や諜報活動のために温存される傾向が強まっています。 

モバイルデバイスが周辺的なエンドポイントではなく信頼されたアクセスポイントとなるにつれ、これらの変化は、ゼロトラストのような、継続的な検証と最小限の暗黙的信頼に基づくセキュリティモデルが、現代の防御戦略の中心としてますます重要になっている理由を改めて裏付けています。

翻訳元: https://www.esecurityplanet.com/threats/apple-zero-day-exploits-used-in-targeted-iphone-spyware-attacks/

ソース: esecurityplanet.com
#Apple #CVE-2025-14174 #CVE-2025-43529 #iOS #iPadOS #iPhone #WebKit #スパイウェア #ゼロデイ脆弱性 #標的型攻撃

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布