CISAがApple WebKitゼロデイの活発な悪用について警告
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、複数のApple製品に影響を与える重大なゼロデイ脆弱性が既に活発に悪用されているとして、その情報を「既知の悪用済み脆弱性(KEV)カタログ」に追加しました。この脆弱性「CVE-2025-43529」は、AppleのレンダリングエンジンであるWebKitにおける深刻なuse-after-freeの欠陥であり、iOS、iPadOS、macOS、その他のAppleプラットフォームを利用する数百万人のユーザーに重大なリスクをもたらします。
脆弱性の概要と技術詳細
CVE-2025-43529としてカタログ化されたこの脆弱性は、WebKitのウェブコンテンツ処理におけるuse-after-free(CWE-416)の問題です。悪意のあるウェブページにユーザーがアクセスすると、攻撃者はこの脆弱性を悪用してメモリ破損を引き起こす可能性があります。この根本的な問題は、WebKitのHTML解析コンポーネントにおけるメモリ参照の不適切な管理に起因しており、攻撃者が解放されたメモリ領域にアクセスし、影響を受けるアプリケーションの権限で任意のコードを実行することを可能にします。
この脆弱性が特に危険なのは、その広範な影響範囲です。Apple Safariが最も明白なターゲットですが、この脆弱性はHTML処理にWebKitを統合する非Appleアプリケーションにも及びます。これにより、Appleのレンダリングエンジンに依存する多数のサードパーティ製ブラウザやアプリケーションにも影響が及び、攻撃対象領域が指数関数的に拡大する可能性があります。
CISAは、脅威アクターがこの脆弱性を既に活発に悪用していることを確認し、2025年12月15日にKEVカタログに即座に追加しました。この脆弱性は、リモートコード実行、任意のファイルアクセス、侵害されたシステム内での潜在的な水平移動など、様々な攻撃タイプに対する重要な伝達メカニズムとなります。組織は、CISAのガイダンスにより設定された21日間の修正期間である2026年1月5日までにこの脅威に対処する必要があります。現時点では、この脆弱性がランサムウェアキャンペーンで悪用されたという情報は確認されていませんが、活発な悪用が確認されていることから、高度な脅威アクターによる武器化の可能性を過小評価すべきではありません。
推奨される緩和策
CISAは、この脆弱性に対処するための組織向けの具体的なガイダンスを概説しています。BOD 22-01コンプライアンス要件に従い、組織はAppleがリリースした際にベンダー提供の緩和策とセキュリティパッチを直ちに適用する必要があります。クラウドサービスの場合、組織は適用可能なクラウドサービスプロバイダーのガイダンスと展開要件に従う必要があります。
緩和策がまだ利用できないシナリオでは、組織はパッチが展開されるまで影響を受ける製品の使用を中止することを検討すべきです。脆弱性管理イニシアチブをサポートするため、CISAはKEVカタログをCSV、JSON、JSON Schema形式で提供しており、公式リソースを通じてアクセス可能です。これにより、自動化された脆弱性管理システムやセキュリティオーケストレーションプラットフォームへの統合が可能になります。
サイバーセキュリティコミュニティは、既存の脆弱性管理フレームワーク内でこの脆弱性を優先すべきです。従業員のワークステーションからエンタープライズ展開まで、インフラ全体でAppleデバイスを使用している組織は、この脅威に緊急性をもって対処する必要があります。セキュリティチームは、影響を受けるシステムを棚卸し、パッチ適用手順を準備し、パッチが展開されるまで悪用試行の監視体制を確立する必要があります。この脆弱性は、最新のパッチ管理プロトコルとプロアクティブな脅威監視能力を維持することの重要性を改めて強調しています。活発な悪用が続く中、修正作業を遅らせる組織は、侵害と潜在的なデータ漏洩への露出を大幅に増加させることになります。