AppleのiPhoneに搭載されている「USB制限モード」に深刻なゼロデイ脆弱性が発見された。この脆弱性は、攻撃者が物理的にデバイスへアクセスした際、USBポートを利用してロック解除済みでなくともデータを窃取できる可能性があるものだ。Appleはこの問題に対処するため、iOS 18.3.1およびiPadOS 18.3.1を緊急リリースした。

発見者は、セキュリティ研究機関シチズン・ラボ(Citizen Lab)のリサーチャーであるビル・マルツリン氏。今回の脆弱性はCVE-2025-2420として登録されており、特に公共の場でのデバイス接続が危険視されている。Appleは具体的な技術的詳細を公表していないが、すべてのiPhone XS以降のデバイスが影響を受けるとされている。

影響を受ける可能性のあるユーザーは、iOS 18.3.1へのアップデートを速やかに実施することが推奨されている。設定アプリから「一般」→「ソフトウェア・アップデート」→「今すぐアップデート」を選択することで、脆弱性への対策が完了する。この脆弱性は極めて危険であり、Appleは即時対応を呼びかけている。

USB制限モードの脆弱性がもたらす新たなセキュリティリスクとは

AppleがiOSに導入している「USB制限モード」は、ロックされたデバイスのUSBポートを通じたデータアクセスを制限する機能であり、外部からの不正侵入を防ぐための重要なセキュリティ対策の一つとされている。しかし、今回発覚した脆弱性により、攻撃者が物理的にiPhoneに接続することで、この保護が迂回される可能性がある。

これにより、盗難や押収されたデバイスが特に危険にさらされることになる。従来、このモードはデバイスが1時間以上ロックされると自動的に有効化され、USB接続によるデータ抜き取りを防いでいた。しかし、今回の脆弱性では、この機能をバイパスし、デバイスがロックされたままでもデータを読み取る手法が悪用される可能性が示唆されている。

特に懸念されるのは、公共の場や警察、税関といった機関によるデバイス接収時のリスクである。ユーザーが意図しない形でデータを解析される危険性が高まるほか、犯罪グループがこの手法を悪用する可能性も否定できない。AppleはiOS 18.3.1のリリースでこの問題に対応したと発表しているが、詳細は非公開とされており、今後さらなる調査やパッチの適用が必要となるかもしれない。

CVE-2025-2420の詳細と発見者シチズン・ラボの役割

この脆弱性は「CVE-2025-2420」として登録され、セキュリティ研究機関シチズン・ラボのビル・マルツリン氏が発見し、Appleに報告した。シチズン・ラボはこれまでも政府機関や企業によるスパイウェアの悪用を暴いてきたことで知られ、iOSの脆弱性調査にも積極的に関与している。

シチズン・ラボは過去に「Pegasus」と呼ばれるスパイウェアの存在を突き止め、ジャーナリストや人権活動家が標的とされていたことを明らかにした。今回の脆弱性もまた、サイバー攻撃の一環として悪用される危険性があると考えられる。特に、国家レベルでの監視技術や法執行機関によるデバイス解析に関連する問題としても注目されるだろう。

Appleは今回のゼロデイ脆弱性に迅速に対応し、iOS 18.3.1のリリースで修正を加えたと説明している。しかし、Appleは具体的な技術的詳細を開示しておらず、どのようにこの脆弱性が悪用されるのか、またどのような環境で発生するのかは明確になっていない。これにより、ユーザー側では攻撃のリスクを完全に把握することが難しく、今後のセキュリティ研究者の分析が待たれる状況となっている。

iPhoneユーザーが今すぐ実行すべき対策とは

AppleはiOS 18.3.1へのアップデートを強く推奨しているが、それに加えてユーザー自身が取るべき追加の対策も考慮するべきだ。特に、公共の場でのUSB接続や、未知のデバイスとの物理的接続を避けることが重要となる。

まず、USBアクセサリを無効化する設定を再確認することが必要だ。「設定」→「Face IDとパスコード」→「USBアクセサリ」の項目を確認し、必要に応じて変更を行うことで、不正な接続によるデータアクセスのリスクを低減できる。

また、不審な充電ステーションを避けることも必須である。近年、公共の充電スポットを悪用した「Juice Jacking」と呼ばれる攻撃が問題視されており、不正な充電ポートを通じてマルウェアを仕込まれる可能性が指摘されている。これを防ぐためには、信頼できる電源アダプタを使用し、USBケーブルを直接公共の充電ポートに接続しないことが望ましい。

さらに、物理的なセキュリティ対策も強化するべきだ。デバイスを持ち歩く際には、紛失や盗難のリスクを最小限に抑えることが重要であり、特に外出時にはiPhoneをポケットやバッグの奥にしまい、簡単にアクセスできないようにする工夫が求められる。加えて、「探す」アプリを有効化し、デバイスが紛失した際の追跡機能を利用できるようにしておくことも重要だ。

Appleが今回の脆弱性を修正したとはいえ、今後も新たな攻撃手法が登場する可能性は否定できない。常に最新のiOSへアップデートし、追加のセキュリティ対策を実施することで、安全性を確保することが求められる。

Source:HotHardware