セキュリティ

SECURITY

公開：2025-04-10

【CVE-2025-24250】macOSにHTTPSプロキシ経由で機密データにアクセス可能な重大な脆弱性、Appleが緊急パッチを公開

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• macOSの重大な脆弱性を修正するアップデートを公開
• 悪意のあるアプリがHTTPSプロキシとして機密データにアクセス可能
• 複数のmacOSバージョンに影響する深刻な脆弱性

macOSの深刻な脆弱性、HTTPSプロキシ経由で機密データにアクセス可能に

Appleは2025年3月31日、macOS Ventura 13.7.5、macOS Sequoia 15.4、macOS Sonoma 14.7.5向けのセキュリティアップデートを公開した。このアップデートは、悪意のあるアプリケーションがHTTPSプロキシとして動作し、ユーザーの機密データにアクセスできる重大な脆弱性【CVE-2025-24250】に対処するものだ。^[1]

この脆弱性はCVSS v3.1で深刻度が9.8（Critical）と評価されており、ネットワーク経由での攻撃が可能で攻撃の複雑さも低いとされている。攻撃者は特別な権限を必要とせず、ユーザーの操作も不要であることから、極めて深刻な脅威となっている。

影響を受けるバージョンは、macOS Ventura 13.7.5未満、macOS Sequoia 15.4未満、macOS Sonoma 14.7.5未満のすべてのバージョンとなっている。Appleは本脆弱性に対してアクセス制限を改善することで対処を行い、該当するすべてのmacOSバージョンに対してセキュリティパッチを提供している。

macOSの脆弱性情報まとめ

HTTPSプロキシについて

HTTPSプロキシとは、暗号化された安全なウェブトラフィックを中継・管理するサーバーのことを指している。主な特徴として、以下のような点が挙げられる。

• エンドユーザーとウェブサーバー間の暗号化通信を仲介
• セキュリティ監視やコンテンツフィルタリングが可能
• 通信の最適化や負荷分散機能を提供

今回のmacOSの脆弱性では、悪意のあるアプリケーションがHTTPSプロキシとして動作することで、本来アクセスできないはずのユーザーの機密データに不正にアクセスすることが可能となっている。この問題は暗号化通信の信頼性を損なう重大な脆弱性であり、早急な対応が必要とされている。

macOSのセキュリティアップデートに関する考察

今回のセキュリティアップデートでは、アクセス制限の改善により機密データへの不正アクセスを防止する対策が実装された点が評価できる。特にCVSS評価が9.8と極めて高く、攻撃の実行が容易であることから、ユーザーの迅速なアップデート適用が重要となっている。

今後の課題として、HTTPSプロキシとして動作するアプリケーションの権限管理をより厳格化する必要性が指摘できる。特にサードパーティ製アプリケーションによる機密データへのアクセス制御については、より詳細な監視とコントロールの仕組みが求められるだろう。

将来的には、機密データへのアクセスに関する包括的な権限管理システムの実装が期待される。特にゼロトラストセキュリティの観点から、アプリケーション単位での詳細な権限制御やアクセスログの監査機能の強化が重要となってくるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-24250, (参照 25-04-10).
1351
2. Apple. https://www.apple.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧