特定のiPhoneユーザーを標的にした攻撃が発覚

2025年12月12日、Appleは緊急のセキュリティアップデートをリリースしました。このアップデートは、実際の攻撃で悪用されていた2つのゼロデイ脆弱性に対処するものです。

今回発見された脆弱性は、特定のiPhoneユーザーを標的とした高度な攻撃で既に悪用されていたことが確認されています。GoogleのThreat Analysis Group(TAG)が発見に貢献したことから、国家レベルの脅威アクターが関与している可能性が高いと考えられます。

悪用された2つの重大な脆弱性の詳細

今回修正された脆弱性は、いずれもWebKitコンポーネントに存在していました。WebKitはSafariブラウザの中核を成す技術で、Webページの表示を担当しています。

CVE-2025-43529は、use-after-free(解放後使用)と呼ばれるメモリ管理の問題です。この脆弱性を悪用すると、攻撃者は悪意のあるWebコンテンツを通じて任意のコードを実行できます。つまり、ユーザーが特定のWebページにアクセスするだけで、デバイスが乗っ取られる可能性があるということです。

もう一つのCVE-2025-14174は、メモリ破損の問題として分類されています。こちらはAppleとGoogle TAGの共同調査により発見されました。両方の脆弱性がスパイウェアキャンペーン（特定の目的や標的グループを標的にした攻撃）に関連していることが確認されております。

これらの脆弱性が特に危険なのは、ユーザーの操作をほとんど必要としない点です。悪意のあるWebサイトにアクセスするだけで、攻撃者はデバイスの制御を奪える可能性があります。

影響を受けるデバイスと追加の修正内容

今回のアップデートは、iPhone 11以降のすべてのモデルに影響します。iPadについては、iPad Pro 12.9インチ(第3世代以降)、iPad Pro 11インチ(第1世代以降)、iPad Air(第3世代以降)、iPad(第8世代以降)、iPad mini(第5世代以降)が対象となっています。

iOS 26.2およびiPadOS 26.2では、これら2つのゼロデイ脆弱性に加えて、30以上の脆弱性が修正されました。その中には、システムの根幹に関わる重要な問題も含まれています。

特に注目すべきは、Kernelの整数オーバーフロー脆弱性(CVE-2025-46285)です。この問題は、攻撃者がroot権限を取得できる可能性があり、Alibaba Groupの研究者によって発見されました。root権限とは、システムの最高レベルのアクセス権限のことで、これを奪われると攻撃者はデバイスを完全に制御できてしまいます。

また、Screen Time機能には複数の問題が見つかり、Safariの閲覧履歴やユーザーデータが漏洩する可能性がありました。プライバシーを重視するAppleにとって、これは看過できない問題だったはずです。