iOS18の防御網を破る「ゼロクリック攻撃」 iMessage経由で成立：セキュリティニュースアラート

iOS 18のiMessageでの受信のみで端末を制御される攻撃チェーンの実態が判明した。受信者が通知を開いたり添付ファイルの操作をしたりする必要はなく、端末がロックされた状態でも自動処理されるという。一体どのような攻撃なのか。

[ITmedia エンタープライズ編集部]

　セキュリティ研究者ジョセフ・ゴディッシュ氏が「GitHub」で公開した調査結果によると、「iOS 18」系に影響した「CVE-2025-31200」と「CVE-2025-31201」を組み合わせた「iMessage」へのゼロクリック攻撃チェーンの実態が明らかになった。

　本件はAppleが2025年4月に配信したiOS 18.4.1で修正済みの脆弱（ぜいじゃく）性だ。調査結果は攻撃チェーンの具体的な仕組みが詳細に整理されている。調査によると、攻撃は細工されたMP4形式の音声をiMessageで送信するだけで成立するという。

メッセージを受け取るだけで成立　ゼロクリック攻撃の脅威

　この攻撃は、受信者が通知を開いたり添付ファイルの操作をしたりする必要はなく、端末がロックされた状態でも自動処理される。最初の段階では「Core Audio」のAACデコーダーに存在するヒープ破壊の欠陥（CVE-2025-31200）が利用される。AACデコード時に使用される「inMagicCookie」と呼ばれるパラメーターに不正なサイズや形式を与えることで「AudioConverterService」内部のメモリ処理が破壊される。

　次の段階において、このメモリ破壊を起点として、Wi-Fiドライバである「AppleBCMWLAN」のA-MPDU処理不備（CVE-2025-31201）が突かれ、カーネル権限での実行に至る。これによって攻撃者はカーネルレベルでのコード実行が可能となり、端末全体に影響を及ぼす状態となる。調査では該当するビルドのiOS 18.4以前で再現性が確認されたとされる。

　侵害後の挙動として注目されるのが「CryptoTokenKit」を介した署名処理の不正利用とされる。Appleデバイスに搭載されたセキュリティコプロセッサ「Secure Enclave」に保管された暗号鍵そのものが外部に取り出された形跡は確認されていない。しかし本来は利用者の操作や正当なプロセスを前提とする署名処理が、侵害された文脈から実行されていたことがログから確認された。これにより、端末や利用者の識別に使われるトークンや署名を偽造できる状態となり、Appleの認証基盤における信頼モデルの前提が崩れる結果となる。

　この他、実験環境ではメディア再生の異常やGPU、電源管理に関係するログの乱れが観測され、端末が一時的に応答不能に陥る事例も報告されている。これは情報の漏えいだけでなく、可用性にも影響を及ぼす攻撃であることを示している。

　Appleは2025年4月16日（現地時間）にiOS 18.4.1を公開し、Core AudioおよびAppleBCMWLANに関する2件のCVEを修正した。ただしGitHubの情報によると、カーネル侵害後に観測されたCryptoTokenKitの署名処理の悪用について、それ自体を独立した脆弱性として扱う修正や追加的な防御策が公表されていない点を指摘している。そのため、攻撃全体の理解や防御設計の検討は、パッチ適用後であっても意味を持つとされる。

　本件はiMessageに導入されてきた「BlastDoor」などの保護機構が、条件次第で回避され得ることを示した事例でもある。修正済みの脆弱性ではあるが、どのような連鎖で高度な権限取得と暗号機能の悪用が成立したのかを知ることは、今後のモバイルOS防御を考える上で重要な材料になる。