セキュリティ

SECURITY

公開：2025-04-10

【CVE-2025-24180】AppleがWebAuthn認証の脆弱性を修正、Safari 18.4など主要OSで対策完了

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Appleが複数OSのWebAuthn認証における脆弱性を修正
• Safari 18.4など主要OS向けにセキュリティアップデートを配信
• 悪意のあるWebサイトによる認証情報の不正取得を防止

AppleのWebAuthn認証の脆弱性とセキュリティアップデート対応

Appleは2025年3月31日、Safari 18.4、visionOS 2.4、iOS 18.4およびiPadOS 18.4、macOS Sequoia 15.4において、WebAuthn認証に関する重要な脆弱性の修正を実施した。この脆弱性は【CVE-2025-24180】として識別されており、悪意のあるWebサイトが同一の登録可能なサフィックスを共有する他のWebサイトからWebAuthn認証情報を不正に取得できる可能性があった。^[1]

セキュリティ専門家による評価では、この脆弱性はCVSS v3.1で8.1のハイリスクと判定されており、攻撃の複雑さは低く特別な権限も必要としないとされている。攻撃者はネットワーク経由でアクセス可能で、ユーザーの操作を必要とするものの、機密性と完全性に重大な影響を及ぼす可能性があると指摘された。

今回のアップデートでは入力検証機能が改善され、WebAuthn認証におけるセキュリティが強化された。この対策により、悪意のあるWebサイトによる認証情報の不正取得リスクが大幅に低減され、ユーザーのセキュリティが向上することとなった。

影響を受けるApple製品とバージョンまとめ

WebAuthnについて

WebAuthnとは、Web Authentication（Web認証）の略称で、パスワードに依存しない強力な認証を実現するための標準規格である。主な特徴として、以下のような点が挙げられる。

• 生体認証や物理セキュリティキーによる二要素認証が可能
• フィッシング攻撃やリプレイ攻撃に対する高い耐性
• ブラウザやプラットフォームに依存しない相互運用性

今回の脆弱性は、WebAuthnの認証情報を扱う際の入力検証の不備に起因しており、同一サフィックスを持つドメイン間での認証情報の漏洩リスクが存在した。Appleは速やかにセキュリティアップデートを提供することで、WebAuthn認証の安全性と信頼性の維持に努めている。

Apple製品のセキュリティアップデートに関する考察

今回のセキュリティアップデートは、WebAuthn認証という重要な認証基盤の脆弱性に対する迅速な対応として評価できる。特にSafariやiOSなど主要プラットフォームを一括して更新することで、ユーザーのセキュリティリスクを最小限に抑える取り組みは、Appleのセキュリティに対する真摯な姿勢を示している。

一方で、今後はWebAuthn認証の普及に伴い、より高度な攻撃手法や新たな脆弱性が発見される可能性も考えられる。特にクロスドメイン認証やドメイン間での認証情報の取り扱いについては、より厳密な検証と対策が必要となるだろう。セキュリティ対策の強化と利便性の両立が重要な課題となる。

また、今後のApple製品におけるセキュリティ対策としては、AIを活用した異常検知や、ゼロトラストセキュリティの考え方に基づいた認証基盤の強化が期待される。WebAuthnの更なる進化と、それに伴うセキュリティ機能の拡充によって、より安全なデジタル環境の実現が望まれる。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-24180, (参照 25-04-10).
1540
2. Apple. https://www.apple.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧