2025年8月25日、AppleはImage I/Oフレームワーク内の重大なゼロクリック脆弱性(CVE-2025-43300)を軽減するための緊急セキュリティアップデートを発行しました。この欠陥により、ユーザーの操作を必要とせずに不正に細工された画像ファイルの処理が可能となり、境界外メモリ書き込みおよび任意コード実行が引き起こされる可能性がありました。この種のエクスプロイトはゼロクリックと分類され、特に暗号通貨保有者にとって危険であり、ウォレットアプリケーションを侵害し、デバイスに保存された秘密鍵にアクセスするために悪用される恐れがあります。
Appleのアドバイザリによると、脆弱性は高度な現実世界の攻撃で標的とされた証拠が存在します。影響を受けるプラットフォームはiOS 18.6.2、iPadOS 18.6.2および17.7.10、macOS Sequoia 15.6.1、Sonoma 14.7.8、Ventura 13.7.8です。同社はImage I/Oライブラリ内の境界チェックを強化し、範囲外書き込みを可能にしていたメモリ処理の欠陥を修正しました。
セキュリティ専門家は、このエクスプロイトのゼロクリック特性により、ドキュメントを開くやリンクをクリックするなどの通常のユーザー操作をトリガーとしないことを警告しています。代わりに、悪意のある攻撃者はiMessageなどのメッセージングプラットフォーム経由で配信される画像メタデータにペイロードを埋め込むことが可能です。受信時にデバイスの自動画像レンダリング処理が悪意のあるデータを処理し、デバイスの侵害や暗号通貨ウォレットの資格情報、リカバリーフレーズ、取引所認証トークンなどの機密情報の窃取を引き起こします。
サイバーセキュリティ企業Coinspectの創設者ジュリアーノ・リッゾ氏は、デジタル資産ユーザーへのリスクの高さを強調し、高価値のターゲットは秘密鍵を直ちに回転させ、資産をハードウェアウォレットに移行するよう助言しました。一般ユーザーには、Appleは速やかなセキュリティアップデートのインストールとインストールソフトウェアバージョンの確認を推奨し、パッチを遅らせるとさらなる攻撃に晒される可能性があると警告しました。
ブロックチェーン解析提供企業CertiKは、類似のゼロクリック脆弱性が過去の国家由来の脅威アクターによるキャンペーンで悪用されていることを指摘しました。今回のAppleの欠陥は、継続的な脆弱性調査および積極的な情報開示の必要性を浮き彫りにしています。これは2025年にAppleが対処した6件目のゼロデイであり、野生の攻撃者の能力向上を反映する異例のペースです。
大規模な暗号通貨運用を行う組織は、徹底的なデバイス監査を実施し、厳格なアップデート方針を施行し、ゼロクリックエクスプロイトの兆候となる異常行動を検出可能なモバイル脅威防御ソリューションの導入を検討することが推奨されます。暗号エコシステムのソフトウェア開発者も、ウォレットプロセスを分離し、重要な署名操作を汎用アプリケーションコードから切り離して攻撃面を最小化することが勧められています。
パッチの展開が開始されたことで、Appleは脆弱性の迅速な軽減とセキュリティ研究コミュニティとの協力へのコミットメントを再確認しました。ユーザーはアップデート手順および進化する脅威環境下でのデバイスとデジタル資産の保護に関するさらなる指導のために、Appleのサポートチャンネルを参照するよう案内されています。
コメント (0)