セキュリティ

SECURITY

公開：2025-04-16

AppleがvisionOS 2.4などの主要OSでセキュリティ更新を実施、位置情報漏洩の脆弱性に対処

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• AppleがvisionOS 2.4などの複数OSで重要なセキュリティ更新を実施
• パス処理の問題に対する改善でロケーション情報の脆弱性に対処
• macOS、iOS、iPadOS、visionOSの各バージョンで修正を実施

複数AppleデバイスのOSセキュリティアップデート

Appleは2025年3月31日に、visionOS 2.4、macOS Ventura 13.7.5、iOS 18.4、iPadOS 18.4、macOS Sequoia 15.4、macOS Sonoma 14.7.5向けのセキュリティアップデートをリリースした。パス処理における脆弱性が発見され、アプリケーションが機密性の高い位置情報を読み取る可能性があったことが明らかになっている。^[1]

この脆弱性はCVSS v3.1で中程度の深刻度である5.5を記録しており、CVE-2025-30470として識別されている。CWEでは「CWE-22 Improper Limitation of a Pathname to a Restricted Directory」に分類され、パストラバーサルの問題として認識されているため、早急な対応が推奨されるだろう。

CISAによる評価では、この脆弱性の悪用は自動化されておらず、技術的な影響は部分的とされている。特に注目すべき点として、攻撃には特権は不要だがユーザーの操作が必要とされ、攻撃の成功時には機密情報の漏洩につながる可能性があるとされている。

AppleデバイスのOSアップデート内容まとめ

パストラバーサルについて

パストラバーサル（Path Traversal）とは、Webアプリケーションにおけるセキュリティ上の脆弱性の一つで、攻撃者が意図的にパス名を操作することで、本来アクセスできないディレクトリやファイルにアクセスできてしまう問題のことを指す。主な特徴として、以下のような点が挙げられる。

• ディレクトリトラバーサルとも呼ばれ、ファイルパスの検証が不適切な場合に発生
• 「../」などの相対パス指定を使用して上位ディレクトリへのアクセスを試みる手法
• 重要な設定ファイルや機密情報への不正アクセスにつながる可能性がある

今回のAppleの更新では、アプリケーションがパストラバーサルの脆弱性を利用して機密性の高い位置情報にアクセスできる問題が修正された。この種の脆弱性は、ユーザーのプライバシーに直接影響を与える可能性があるため、システム管理者は速やかにアップデートを適用することが推奨されている。

AppleのOSセキュリティアップデートに関する考察

今回のセキュリティアップデートは、Appleの主要なOSプラットフォーム全体に関わる包括的な対応であり、ユーザーのプライバシー保護という観点で重要な意味を持っている。特にvisionOSのような新しいプラットフォームでも同様の対応が行われたことは、Appleのセキュリティに対する一貫した姿勢を示すものとして評価できるだろう。

しかし、今後はIoTデバイスの増加やクロスプラットフォームアプリケーションの普及により、類似の脆弱性が発見される可能性が高まることが予想される。このような状況に対しては、開発段階でのセキュリティレビューの強化や、脆弱性スキャンツールの導入などの予防的対策が重要になってくるだろう。

また、今回の脆弱性はユーザーの関与が必要とされる点で直接的な危険性は限定的だが、ソーシャルエンジニアリングと組み合わせた攻撃シナリオの可能性も考えられる。Appleには今後も迅速なセキュリティアップデートの提供と、より強固なパーミッション管理システムの実装が期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-30470, (参照 25-04-16).
1688
2. Apple. https://www.apple.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧