【CVE-2024-40851】アップルのiPadOSとiOSに脆弱性が発見、情報漏洩のリスクに早急な対応が必要

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

アップルのiPadOSとiOSに脆弱性が発見
不正アクセスにより情報漏洩の可能性
iOS 18.1未満とiPadOS 18.1未満が対象

アップルのiPadOSとiOSの脆弱性

アップルは2024年10月28日、iPadOSおよびiOSに存在する脆弱性に関する情報を公開した。【CVE-2024-40851】として識別されるこの脆弱性は、CWEによる脆弱性タイプが情報不足に分類されており、NVDの評価によると攻撃元区分は物理であり、攻撃条件の複雑さは低いとされている。^[1]

この脆弱性の影響を受けるシステムは、iOS 18.1未満およびiPadOS 18.1未満のバージョンとなっている。攻撃に必要な特権レベルは不要で利用者の関与も不要とされており、影響の想定範囲に変更はないものの、機密性への影響は低く評価されている。

セキュリティ評価基準CVSSによる深刻度基本値は2.4と注意レベルに分類されている。機密性への影響は低く、完全性および可用性への影響はないとされているが、脆弱性を利用された場合には情報を取得される可能性があるため、早急な対策が推奨される。

iPadOSとiOSの脆弱性の詳細

項目	詳細
影響を受けるシステム	iOS 18.1未満、iPadOS 18.1未満
CVE番号	CVE-2024-40851
CVSS基本値	2.4（注意）
攻撃条件	物理的なアクセス、低い複雑さ
必要な特権	不要
想定される影響	情報の取得

CVSSについて

CVSSとはCommon Vulnerability Scoring Systemの略称で、情報システムの脆弱性の深刻度を評価するための共通基準として世界的に利用されている。脆弱性の持つ特性を基本評価基準・現状評価基準・環境評価基準の3段階で定量的に表すことができる。

基本評価基準による定量的な脆弱性評価
攻撃元や攻撃条件など複数の評価軸
0.0から10.0までの数値で深刻度を表現

今回のアップルの脆弱性では、CVSSv3による深刻度基本値が2.4と評価されている。この評価には攻撃元区分が物理であることや、攻撃条件の複雑さが低いこと、また攻撃に特権レベルが不要である点などが考慮されており、総合的に見て注意レベルと判断された。

iPadOSとiOSの脆弱性に関する考察

アップルの製品における脆弱性の発見は、ユーザーのプライバシー保護という観点から重要な意味を持っている。今回の脆弱性は物理的なアクセスが必要という点で攻撃のハードルは高いものの、攻撃条件の複雑さが低く特権も不要という特徴から、悪用される可能性を完全に否定することはできないだろう。

今後の課題として、デバイスの物理的なセキュリティ強化が挙げられる。アップルには、ハードウェアレベルでの保護機能の実装や、生体認証技術のさらなる進化による多層的なセキュリティ対策の導入が期待される。ソフトウェアアップデートによる対応だけでなく、物理的な攻撃に対する防御メカニズムの構築が重要となってきている。

また、脆弱性情報の早期発見・報告の仕組みをより強化することも重要だ。アップルのバグバウンティプログラムの拡充や、セキュリティ研究者との協力関係の強化により、脆弱性の発見から修正までの時間を短縮することが可能となるだろう。今後はAIを活用した脆弱性診断システムの導入なども検討に値する。