セキュリティ

SECURITY

公開：2025-04-18

【CVE-2025-30450】macOSの複数バージョンでシンボリックリンクの脆弱性が発見、Appleが修正パッチを提供

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• macOSの複数バージョンにセキュリティ脆弱性が発見
• 攻撃者がシンボリックリンクを悪用し機密データにアクセス可能
• Apple社が修正パッチを含むアップデートをリリース

macOSの複数バージョンにおけるシンボリックリンクの脆弱性【CVE-2025-30450】

Apple社は2025年3月31日、macOSの複数バージョンにおいてシンボリックリンクの検証が不十分であることによる脆弱性を公開した。この脆弱性は【CVE-2025-30450】として識別されており、攻撃者がアプリケーションを通じてユーザーの機密データにアクセスできる可能性があることが判明している。^[1]

脆弱性の影響を受けるバージョンは、macOS Ventura 13.7.5未満、macOS Sequoia 15.4未満、およびmacOS Sonoma 14.7.5未満となっている。CVSSスコアは5.5（深刻度：中）と評価され、攻撃には物理的なアクセスと利用者の操作が必要とされるものの、機密性への影響が高いと判断されている。

この問題に対し、Apple社はシンボリックリンクの検証機能を改善したセキュリティアップデートを提供している。対象となるすべてのmacOSユーザーに対して、最新バージョンへのアップデートが推奨されており、各バージョンのセキュリティ情報は公式サポートページで確認することができる。

macOS脆弱性の影響範囲まとめ

シンボリックリンクについて

シンボリックリンクとは、ファイルシステムにおいて別のファイルやディレクトリへの参照を提供する特殊なファイルタイプのことを指す。主な特徴として、以下のような点が挙げられる。

• 実体のファイルやディレクトリへのショートカットとして機能
• ファイルシステムをまたいだリンクの作成が可能
• 元のファイルの移動や削除時にリンクが切断される特性を持つ

シンボリックリンクは、macOSやUnixライクなシステムで広く使用されており、ファイル管理やシステム構成の柔軟性を高める重要な機能として位置づけられている。しかし今回の脆弱性のように、検証が不十分な場合はセキュリティ上のリスクとなる可能性があるため、適切な実装と管理が必要とされている。

macOSのシンボリックリンク脆弱性に関する考察

シンボリックリンクの脆弱性は、ユーザーの機密データに直接影響を及ぼす可能性があるという点で重要な問題である。攻撃者が物理的なアクセスと利用者の操作を必要とする点でリスクは限定的だが、一度攻撃が成功すると重要な情報が漏洩する可能性があるため、早急な対応が求められている。

今後は、シンボリックリンクの検証メカニズムをより強化し、アプリケーションレベルでのセキュリティチェックを徹底することが重要となるだろう。特に、サードパーティ製アプリケーションとの連携時におけるセキュリティ検証の強化や、ユーザー権限の適切な制御が必要となる。

また、この問題はファイルシステムのセキュリティモデル全体の見直しにもつながる可能性がある。アプリケーションのサンドボックス化やファイルアクセス権限の細分化など、より包括的なセキュリティ対策の実装が期待される。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-30450」. https://www.cve.org/CVERecord?id=CVE-2025-30450, (参照 25-04-18).
1287
2. Apple. https://www.apple.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧