CISA Warns of macOS and iOS Vulnerabilities Exploited in Attacks
2026/03/09 CyberSecurityNews — 2026年3月5日に CISA は、macOS/iOS/iPadOS などの Apple 製品に影響する 3 件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。この追加は、脅威アクターが実環境でこれらの欠陥を悪用していることを示すものであり、ネットワーク防御担当者に対する警告である。サイバー・リスクを管理する組織にとっては、即時のパッチ適用が最優先事項となる。
悪用が確認された Apple の脆弱性
新たに追加された脆弱性は、メモリ管理および算術演算ロジックの不備に関連する。そのうち 2 件の脆弱性 CVE-2023-43000/CVE-2023-41974 は、メモリ解放後使用の欠陥 (CWE-416) である。これらの脆弱性は、プログラムが再割り当て後のメモリポインタを継続して使用することで発生し、攻撃者による悪意のコード注入を可能にする。
3 件目の脆弱性 CVE-2021-30952 は、Integer Overflow 欠陥 (CWE-190) である。この脆弱性は、数値演算の結果が割り当てられた記憶領域の上限を超過した場合に発生し、ソフトウェアの予期しない動作を引き起こす可能性がある。
これらの脆弱性を悪用する攻撃者は、細工された悪意ある Web コンテンツをユーザーに処理させ、そのデバイスを侵害していく。それぞれの脆弱性の詳細は、以下のとおりである。
- CVE-2023-43000:macOS/iOS/iPadOS/Safari に影響し、メモリ破損を引き起こす可能性がある。
- CVE-2021-30952:tvOS/macOS/Safari/iOS/iPadOS/watchOS に影響し、任意コード実行を可能にする。
- CVE-2023-41974:iOS/iPadOS に影響し、悪意のアプリによるカーネル権限を介した任意のコード実行が可能になる。これにより、システム深層へのアクセスが可能となる。
現在進行中のランサムウェア攻撃と、これらの脆弱性の関連については、現時点で不明だと CISA は述べている。しかし、任意のコード実行およびカーネル・レベルでのシステム・アクセスを許すリスクは、きわめて深刻であり、直ちに対処する必要がある。
Binding Operational Directive (BOD) 22-01 に基づき、Federal Civilian Executive Branch (FCEB) 機関は 2026年3月26日までに、これらの脅威に対するネットワーク保護を完了する必要がある。この連邦指令は政府機関に適用されるが、CISA は民間企業に対しても、ネットワーク侵害を防止するためこれらの更新を直ちに優先して適用することを強く推奨している。
ネットワーク防御担当者は期限までに以下を実施する必要がある。
- Apple の公式ベンダー指示に従い、利用可能なすべてのセキュリティ更新を適用すること。
- クラウドベース環境では BOD 22-01 のガイダンスに従うこと。
- 公式の緩和策を適用できない場合、脆弱な製品の使用を直ちに停止すること。
Apple の製品群で発見された深刻な脆弱性は、主にメモリ管理と計算処理の不備に起因するものです。具体的には、CVE-2023-43000/CVE-2023-41974 におけるメモリ解放後使用の問題と、CVE-2021-30952 における整数オーバーフローの問題です。メモリ解放後使用とは、プログラムが再割り当て済みのメモリを参照し続けることで不正なコード実行を許すものであり、整数オーバーフローは、数値計算の結果が記憶領域の上限を超えてしまうものです。これらの脆弱性を悪用する攻撃者は、悪意の Web コンテンツを介して、カーネル権限でのコード実行などを引きこす恐れがあります。確実な更新適用で保護できますので、早めの対応が推奨されます。よろしければ、Apple での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.