セキュリティ

SECURITY

公開：2025-04-16

【CVE-2025-24276】macOSで情報漏洩の脆弱性を確認、Appleが緊急セキュリティアップデートを配信

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• macOS向けセキュリティアップデートがリリース
• 情報漏洩の可能性がある脆弱性に対処
• 複数バージョンのmacOSに影響

macOSの脆弱性に対するセキュリティアップデート

Appleは2025年3月31日、macOS Ventura 13.7.5、macOS Sequoia 15.4、macOS Sonoma 14.7.5のセキュリティアップデートをリリースした。悪意のあるアプリケーションによって個人情報にアクセスされる可能性のある脆弱性【CVE-2025-24276】が発見され、脆弱なコードを削除することで問題に対処している。^[1]

この脆弱性はCVSS 3.1のスコアが5.5（深刻度：中）と評価されており、ローカルからの攻撃が可能で特権は不要だが、ユーザーの操作が必要とされている。影響範囲はmacOS Ventura 13.7未満、macOS Sequoia 15.4未満、macOS Sonoma 14.7未満のバージョンに及んでいる。

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は4月2日にSSVCの評価を更新し、この脆弱性に関して自動化された攻撃は確認されておらず、技術的な影響は部分的であるとしている。CWEでは「CWE-200：権限のないアクターへの機密情報の露出」に分類されている。

macOSセキュリティアップデートの詳細

権限のないアクターへの機密情報の露出について

権限のないアクターへの機密情報の露出とは、システムが意図せずに機密データを権限のない第三者に開示してしまう脆弱性を指す。以下のような特徴が挙げられる。

• 適切なアクセス制御が実装されていない状態での情報開示
• エラーメッセージやログを通じた機密情報の漏洩
• 意図しないデータの表示や保存による情報露出

この種の脆弱性は、個人情報や認証情報、内部システム構成などの重要な情報が漏洩する可能性があり、深刻なセキュリティリスクとなる。macOSの場合、アプリケーションの権限管理やサンドボックス化による保護が実装されているが、今回のような脆弱性が発見された場合は迅速なアップデートが推奨される。

macOSのセキュリティアップデートに関する考察

今回のセキュリティアップデートは、複数のmacOSバージョンに影響する脆弱性に対して迅速な対応が行われた点が評価できる。特に脆弱なコードを完全に削除するアプローチを採用したことで、根本的な問題解決が図られており、今後同様の脆弱性が発生するリスクを低減することが期待できる。

しかし、ユーザーが自動アップデートを無効にしていたり、古いバージョンのmacOSを使用し続けている場合、脆弱性が修正されないまま残存する可能性がある。アップデートの重要性に関する周知徹底や、企業環境での一括アップデート管理の仕組みの整備が今後の課題となるだろう。

長期的には、開発段階でのセキュリティレビューの強化や、脆弱性が発見された際の修正プロセスの効率化が求められる。AppleにはmacOSのセキュリティ基盤をさらに強化し、ユーザーの個人情報保護により一層注力することを期待したい。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-24276, (参照 25-04-16).
1326
2. Apple. https://www.apple.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧