2025年8月25日、AppleはImage I/Oフレームワーク内の重大なゼロクリック脆弱性(CVE-2025-43300)を緩和するための緊急セキュリティアップデートを発行しました。この欠陥により、加工された画像ファイルの処理が可能となり、ユーザーの操作を必要とせずに境界外メモリ書き込みや任意のコード実行を引き起こす恐れがありました。ゼロクリックと分類されるこの種の攻撃は、ウォレットアプリケーションを侵害し、デバイスに保存された秘密鍵にアクセスするために利用され得るため、暗号通貨保有者にとって特に危険です。
Appleのアドバイザリによると、高価値ターゲットに対する高度な実際の攻撃でこの脆弱性が悪用された証拠が存在します。影響を受けるプラットフォームは、iOS 18.6.2、iPadOS 18.6.2および17.7.10、macOS Sequoia 15.6.1、Sonoma 14.7.8、Ventura 13.7.8です。同社はImage I/Oライブラリの境界チェックを強化し、範囲外書き込みを許していたメモリ処理の欠陥を修正しました。
セキュリティ専門家は、このゼロクリック攻撃の性質上、ドキュメントの開封やリンクのクリックといった典型的なユーザー操作によるトリガーを排除すると警告します。代わりに、攻撃者はiMessageのようなメッセージングプラットフォームを通じて画像メタデータにペイロードを埋め込むことができます。受信すると、デバイスの自動画像レンダリング処理が悪意あるデータを処理し、デバイスの侵害や暗号通貨ウォレットの認証情報、リカバリーフレーズ、取引所認証トークンなどの機密情報の窃取に繋がります。
サイバーセキュリティ企業Coinspectの創設者ジュリアーノ・リッツォは、デジタル資産ユーザーへのリスクの高まりを強調しました。彼は、高価値ターゲットには即座に秘密鍵を再生成し、保有資産をハードウェアウォレットに移行するよう勧めています。一般ユーザーには、Appleがセキュリティアップデートの速やかなインストールとソフトウェアバージョンの確認を推奨しており、パッチ適用の遅延はさらなる攻撃にデバイスを晒す可能性があると警告しています。
ブロックチェーン解析プロバイダーCertiKは、類似のゼロクリック脆弱性が過去の国家レベルの脅威アクターによる攻撃キャンペーンで利用されてきたことを指摘しました。今回のAppleの欠陥は、継続的な脆弱性研究と積極的な情報公開の必要性を示しています。2025年にAppleが対応した6件目のゼロデイであり、野生環境における敵対的能力の増大を反映する記録的な頻度です。
大規模な暗号通貨取引を扱う組織には、徹底したデバイス監査、厳格なアップデートポリシーの実施、ゼロクリック攻撃を示す異常動作を検知可能なモバイル脅威防御ソリューションの導入が推奨されています。暗号エコシステムのソフトウェア開発者には、ウォレットプロセスを分離し、重要な署名操作を汎用アプリケーションコードから切り離すことで攻撃対象領域を最小化することが求められます。
パッチの配布が開始された今、Appleは迅速な脆弱性緩和とセキュリティ研究コミュニティとの協力に対する意欲を再確認しました。ユーザーはアップデートの手順や進化する脅威環境におけるデバイスおよびデジタル資産の保護に関するさらなる指導のために、Appleのサポートチャネルを利用するよう案内されています。
コメント (0)