CVE-2025-43300 ゼロデイ脆弱性
Appleは、CVE-2025-43300として追跡されている高リスクのゼロデイ脆弱性を修正するための重要なセキュリティアップデートを公開しました。ImageIOフレームワークに発見されたこの脆弱性は、実際に悪用されていることが確認されており、iOS、iPadOS、およびmacOSユーザーにとって深刻な脅威となっています。
目次
脆弱性の仕組み
CVE-2025-43300は、境界外書き込みの脆弱性に分類されます。この問題は、ImageIOが悪意を持って作成されたイメージを処理する際に発生し、メモリ破損を引き起こします。このタイプの欠陥により、攻撃者はシステムメモリを安全でない方法で操作することができ、リモートコード実行や機密データへのアクセスを許してしまう可能性があります。
Appleは、この脆弱性が標的の個人に対する「極めて高度な」攻撃の一部であったことを認め、高度な悪用キャンペーンでの使用を強調した。
誰が危険にさらされているのか?
このバグは、最新のiPhone、iPad、Macを含む幅広いAppleデバイスに影響を与えます。Appleは攻撃者や標的の身元を明らかにしていませんが、今回の脆弱性を悪用した攻撃は、資金力のある脅威アクター、おそらく国家支援を受けたグループがこのキャンペーンの背後にいることを示唆しています。
パッチ適用バージョンが利用可能
Appleは境界チェックの改善によりCVE-2025-43300を修正し、サポート対象システム全体にアップデートをリリースしました。以下のバージョンへのアップグレードを強くお勧めします。
- iOS 18.6.2 および iPadOS 18.6.2 – iPhone XS 以降、iPad Pro (13 インチ、12.9 インチ第 3 世代以降、11 インチ第 1 世代以降)、iPad Air 第 3 世代以降、iPad 第 7 世代以降、iPad mini 第 5 世代以降。
- iPadOS 17.7.10 – iPad Pro 12.9 インチ第 2 世代、iPad Pro 10.5 インチ、iPad 第 6 世代
- macOS Ventura 13.7.8 – Ventura を実行しているデバイス。
- macOS Sonoma 14.7.8 – Sonoma を実行しているデバイス。
- macOS Sequoia 15.6.1 – Sequoia を実行しているデバイス。
悪用されたゼロデイ脆弱性のリストが増加
CVE-2025-43300は単発のインシデントではありません。Appleは今年に入ってから、7件のゼロデイ脆弱性に対するパッチをリリースしています。
- CVE-2025-24085
- CVE-2025-24200
- CVE-2025-24201
さらに、Apple は最近、オープンソース コンポーネントに関連する Safari の脆弱性 (CVE-2025-6558) を修正しました。この脆弱性は、Google Chrome のゼロデイとしてすでに悪用されていました。
これらの脆弱性がなぜ重要なのか
ゼロデイ脆弱性攻撃は、パッチが公開される前に攻撃者が悪用するため、サイバーセキュリティにおける最も危険な脅威の一つです。CVE-2025-43300のような脆弱性が標的型スパイ活動に結び付けられると、個人だけでなく、企業、政府、そして重要インフラにもリスクをもたらします。
保護された状態を維持する
ユーザーは以下を行う必要があります。
- 最新のパッチバージョンにすぐに更新してください。
- 不明なソースからの迷惑な画像ファイルやコンテンツを開かないようにしてください。
- 自動更新を有効にして、ゼロデイ脅威にさらされる時間を減らします。
Apple は CVE-2025-43300 に速やかに対処することで攻撃対象領域の縮小に貢献していますが、このエクスプロイトの存在は、執拗かつ高度な攻撃者が常に新たな侵入口を探していることを思い起こさせます。
