セキュリティ

SECURITY

公開：2025-02-11

【CVE-2025-24128】Appleが主要製品のアドレスバー偽装脆弱性を修正、セキュリティ機能が大幅に強化

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Appleが複数製品のセキュリティアップデートを公開
• 悪意のあるWebサイトによるアドレスバー偽装の脆弱性に対処
• macOS、Safari、iOS、iPadOSの最新バージョンで修正完了

Appleの主要製品でアドレスバー偽装の脆弱性が修正

Appleは2025年1月27日、macOS Sequoia 15.3、Safari 18.3、iOS 18.3およびiPadOS 18.3において、アドレスバー偽装の脆弱性に対する修正を含むセキュリティアップデートを公開した。この脆弱性は悪意のあるWebサイトを通じてアドレスバーの表示を改ざんされる可能性があり、追加のロジックを実装することで対処している。^[1]

この脆弱性はCVSS v3.1で基本評価値4.3（深刻度：中）と評価されており、攻撃元区分はネットワーク経由で、攻撃条件の複雑さは低いとされている。また特権レベルは不要だが、ユーザーの操作が必要となり、機密性への影響はないものの、完全性への影響が限定的に発生する可能性がある。

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）はこの脆弱性に関して、2025年1月31日にSSVCによる評価を公開した。SSVCでは、自動化された攻撃は確認されておらず、技術的な影響は部分的であると評価している。

CVE-2025-24128の詳細情報まとめ

アドレスバー偽装について

アドレスバー偽装とは、Webブラウザのアドレスバーに表示されるURLを不正に改ざんし、ユーザーを騙す攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 正規のWebサイトに見せかけてユーザーを欺く
• フィッシング詐欺などの不正行為に悪用される
• ブラウザのセキュリティ機能を回避する可能性がある

今回のApple製品における脆弱性は、悪意のあるWebサイトを通じてアドレスバーの表示を改ざんされる可能性があるものだ。CVEによって識別された脆弱性は、ユーザーの操作を必要とするものの攻撃条件の複雑さは低く、Webブラウザのセキュリティ機能を迂回される可能性がある。

Apple製品のセキュリティアップデートに関する考察

Appleが複数の主要製品に対して同時にセキュリティアップデートを提供したことは、エコシステム全体のセキュリティ強化という観点で評価できる。一方で、アドレスバー偽装の脆弱性は比較的シンプルな攻撃手法であるにもかかわらず、修正に時間を要したことから、脆弱性の早期発見と対応プロセスの改善が求められるだろう。

今後は同様の脆弱性に対して、より迅速な対応が必要となってくる。特にWebブラウザのセキュリティ機能は、フィッシング詐欺などの攻撃から利用者を守る重要な役割を担っているため、定期的なセキュリティ診断と脆弱性の早期発見体制の強化が求められるだろう。

また、Apple製品のユーザーは増加の一途を辿っており、セキュリティ上の問題が与える影響も年々大きくなっている。今後はAIを活用した異常検知システムの導入や、サードパーティ製セキュリティツールとの連携強化など、より包括的なセキュリティ対策の実装が期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-24128, (参照 25-02-11).
2. Apple. https://www.apple.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧