セキュリティ

SECURITY

公開：2025-04-18

【CVE-2025-24248】macOS Sequoia 15.4で権限管理の脆弱性に対応、デバイス列挙の不正アクセスを防止

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• macOS Sequoia 15.4で権限の問題に対する対策を実施
• アプリがAppleアカウントのデバイス列挙が可能な脆弱性を修正
• CVSSスコア5.0のミディアムリスクの脆弱性に対応

macOS Sequoia 15.4における権限問題の改善と脆弱性対策

Appleは2025年3月31日、macOS Sequoia 15.4において権限に関する問題を修正するアップデートをリリースした。このアップデートでは追加の制限を実装することで、アプリケーションがユーザーのAppleアカウントにサインインしているデバイスを列挙できてしまう脆弱性に対処している【CVE-2025-24248】。^[1]

この脆弱性はCVSSv3.1で評価されており、スコアは5.0（Medium）となっている。攻撃経路は隣接ネットワークからのアクセスで、攻撃の複雑性は高いとされているが特権は不要であり、ユーザーの操作も必要としないことが特徴だ。

CWE（共通脆弱性タイプ一覧）では、CWE-284（不適切なアクセス制御）に分類されている。SSVCの評価によると、自動化された攻撃は確認されておらず、技術的な影響は部分的なものに留まっているとされている。

macOS Sequoia 15.4の脆弱性情報まとめ

不適切なアクセス制御について

不適切なアクセス制御とは、システムやアプリケーションにおいて、適切な認証や権限チェックが実装されていない状態を指す。主な特徴として、以下のような点が挙げられる。

• 権限のないユーザーが制限された機能やデータにアクセス可能
• 認証バイパスや権限昇格の可能性がある
• 情報漏洩やシステム改ざんのリスクが存在

今回のmacOSの脆弱性では、アプリケーションが本来アクセスすべきでないAppleアカウントのデバイス情報を列挙できてしまう問題が確認された。この問題はCWE-284に分類され、アプリケーションの権限管理における不備を示している。

macOS Sequoia 15.4のセキュリティ更新に関する考察

アプリケーションの権限管理を強化することで、ユーザーのプライバシー保護が向上することが期待される。特にAppleアカウントに紐づけられたデバイス情報は重要な個人情報であり、不正なアクセスを防ぐための対策は必要不可欠だ。

今後はアプリケーションの権限管理をより細かく制御できる仕組みの実装が求められるだろう。特にサードパーティ製アプリケーションに対する権限の制限や監視機能の強化が重要な課題となっている。

macOSのセキュリティ更新は定期的に行われているが、脆弱性の発見から修正までの期間短縮も重要な課題だ。ユーザーの安全を確保するためには、脆弱性の早期発見と迅速な対応が不可欠となっている。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-24248」. https://www.cve.org/CVERecord?id=CVE-2025-24248, (参照 25-04-18).
989
2. Apple. https://www.apple.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧