サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、複数のApple製品に影響する重大なゼロデイ脆弱性を「既知の悪用されている脆弱性(KEV)」カタログに追加し、実環境での積極的な悪用を示しました。
CVE-2025-43529 は、AppleのレンダリングエンジンであるWebKitにおける深刻なuse-after-free脆弱性であり、iOS、iPadOS、macOS、その他のAppleプラットフォームにわたる数百万人のユーザーに重大なリスクをもたらします。
脆弱性の概要と技術的詳細
この脆弱性は、use-after-free(CWE-416)として分類されており、WebKitのWebコンテンツ処理に存在します。ユーザーが悪意を持って細工されたWebページを閲覧すると、攻撃者はこの脆弱性を通じてメモリ破損を引き起こすことができます。
根本的な問題は、WebKitのHTML解析コンポーネントにおけるメモリ参照の不適切な管理に起因しており、攻撃者が解放済みのメモリ領域にアクセスして、影響を受けるアプリケーションの権限で任意のコードを実行できるようになります。
この脆弱性が特に危険なのは、その影響範囲が広い点です。最も明白な標的はApple Safariですが、この脆弱性はHTML処理にWebKitを統合している非Apple製アプリケーションにも及びます。
これには、Appleのレンダリングエンジンに依存する多数のサードパーティ製ブラウザやアプリケーションが含まれ、攻撃対象領域が指数関数的に拡大する可能性があります。
CISAは、脅威アクターがこの脆弱性を実環境で積極的に悪用していることを確認しており、2025年12月15日にKEVカタログへ即時追加するに至りました。
この脆弱性は、リモートコード実行、任意ファイルアクセス、侵害されたシステム内での横展開の可能性など、さまざまな攻撃タイプの重大な侵入経路となります。
組織は、この脅威に対処するために、CISAのガイダンスで定められた21日間の是正期間に基づき、2026年1月5日までに対応する必要があります。
現時点では、この脆弱性がランサムウェア・キャンペーンで使用されていることは確認されていません。しかし、積極的な悪用が確認されている以上、防御側は高度な脅威アクターによる武器化の可能性を過小評価すべきではありません。
緩和策
CISAは、この脆弱性を管理する組織向けに具体的なガイダンスを示しています。BOD 22-01の準拠要件に従い、Appleが提供する緩和策およびセキュリティパッチがリリースされ次第、組織は直ちに適用すべきです。
クラウドサービスについては、組織は該当するクラウドサービスプロバイダーのガイダンスおよび展開要件に従う必要があります。緩和策が利用できない状況では、パッチが展開されるまで影響を受ける製品の使用中止を検討すべきです。
脆弱性管理の取り組みを支援するため、CISAは公式リソースを通じて、KEVカタログを複数の形式で提供しています。
組織はCSV、JSON、そしてJSON Schema形式でデータにアクセスでき、自動化された脆弱性管理システムやセキュリティ・オーケストレーション・プラットフォームへの統合が可能です。
この包括的なカタログは、企業環境全体における脆弱性是正の優先順位付けのための権威ある情報源として機能します。
サイバーセキュリティ・コミュニティは、既存の脆弱性管理フレームワークの中で、この脆弱性を優先すべきです。
従業員のワークステーションから企業向け展開に至るまで、インフラ全体でAppleデバイスを利用している組織は、この脅威を緊急性の高いものとして扱う必要があります。
セキュリティチームは、影響を受けるシステムを棚卸しし、パッチ適用手順を準備し、パッチが展開されるまで悪用の試行を監視する体制を整えるべきです。
この脆弱性は、最新のパッチ管理プロトコルを維持し、能動的な脅威監視能力を備えることの重要性を改めて示しています。
積極的な悪用が続く中、是正対応を遅らせる組織は、侵害および潜在的なデータ漏えいへの露出を大幅に高めることになります。
翻訳元: https://gbhackers.com/apple-webkit/
