Appleも修正できない脆弱性のPoCコード公開 2018〜2020年世代のiPhoneに残る設計上の課題：A12／A13搭載機は注意

AppleのA12、A13チップを搭載したiPhoneやiPadで、起動時の信頼基盤を揺るがす新たなBootROMエクスプロイト「usbliter8」の実証コードが公開された。遠隔攻撃はできないものの、一度見つかればソフトウェア更新では消せない欠陥だという。

[＠IT]

　Paradigm Shift Technologyは2026年6月20日（現地時間、以下同）、AppleのA12およびA13チップを搭載した複数の製品で、SecureROM内において任意コード実行を可能にする「usbliter8」エクスプロイトの実証コードを公開した。

　SecureROMは、製造時にシリコンへ焼き込まれる起動コードで、電源投入後に最初に実行される。ここでは「iOS」や「iPadOS」が起動するまでの信頼の連鎖（Chain of Trust）を検証しており、Appleデバイスのセキュリティ基盤を支える重要なコンポーネントだ。

　今回明らかになった欠陥は、このSecureROMに存在するためソフトウェア更新では修正できない。一方で、攻撃には端末への物理アクセスとDFU（Device Firmware Update）モードへの移行が必要であり、現時点で遠隔から悪用できる手法は報告されていない。

A12・A13世代を直撃　BootROMを突く「usbliter8」とは何か

　usbliter8は、「iPhone」「iPad」「Apple Watch」など現在も利用されている複数の製品に影響する。

　攻撃が成功すると、攻撃者はiOSの起動前に未署名コードを実行できるようになる。Appleの署名検証を回避し、独自コードを読み込ませることが可能だ。ただし、マルウェアが端末内に永続的に残るわけではない。BootROM脆弱（ぜいじゃく）性であるため、端末を再起動した場合は再び攻撃を実行する必要があるが、脆弱性自体は消えないため、同じ手順で何度でもアクセスを再現できる。

　原因は、組み込み機器やモバイル向けSoCで広く利用されるSynopsysのUSBコントローラー「DWC2（DesignWare Cores USB 2.0 On-The-Go）」にあるという。

　端末がDFUモードに入ると、USB SetupパケットはDMA（Direct Memory Access）領域に保存される。しかし、このコントローラーには特定条件下でDMAバッファーの管理に不整合が生じる問題があり、攻撃者がUSBパケットのサイズや送信タイミングを細かく制御すると、本来の領域を超えて隣接するメモリにDMA書き込みを発生させられる。

　さらにA12およびA13では、SecureROM実行中にAppleのDART（Device Address Resolution Table）がバイパスモードで動作する。このため、通常であればDMAアクセスを制限するIOMMU（Input/Output Memory Management Unit）が介在せず、攻撃者はSecureROM周辺のメモリを直接改変できるという。AppleはA14以降でこの問題を修正したとされる。

　攻撃手法はチップ世代によって異なる。

　A12では、DMAバッファーがUSB関連タスクのスタック領域に隣接している。攻撃者はメモリ破壊によってリターンアドレスを書き換え、プログラムの実行フローを乗っ取る。その後、ROP（Return-Oriented Programming）チェーンを利用して特権コードを実行する。

　一方、A13ではAppleがPointer Authentication（PAC）を導入し、単純なスタック破壊による制御奪取が困難になっていた。Paradigm Shiftによると、研究者らは複数のメモリ破壊手法を組み合わせることでPACを回避し、最終的に割り込みハンドラーの制御権を奪うことに成功したという。

　さらにA13のSecureROMには、コンパイラ由来のアドレス検証処理の不備も存在した。これを利用してSecureROMを高位SRAMにコピーし、メモリマッピングを変更することで、ROMの内容に事実上のパッチを適用できるとしている。

影響を受ける製品は

　影響を受ける製品には、A12搭載の「iPhone XR」「iPhone XS」「iPhone XS Max」「iPad Air（第3世代）」「iPad mini（第5世代）」「iPad（第8世代）」「Apple TV 4K（第2世代）」が含まれる。

　また、S4およびS5チップを搭載する「Apple Watch Series 4」「Apple Watch Series 5」「Apple Watch SE（第1世代）」「HomePod mini」も対象となる。

　A13搭載製品では「iPhone 11」「iPhone 11 Pro」「iPhone 11 Pro Max」「iPhone SE（第2世代）」「iPad（第9世代）」および「Studio Display」が影響を受ける。

　A12XおよびA12Zを搭載した2018年・2019年モデルのiPad Proについては、現時点で実装は公開されていないものの、同社は理論上攻撃可能としている。

　なお、A14以降のチップは影響を受けない。

攻撃成功後に可能になること

　攻撃が成功すると、攻撃者はカーネルと同等のEL1権限を取得できる。未署名のiBootイメージを起動したり、セキュリティ設定を変更したり、独自のUSBハンドラーを組み込んだりできるようになる。

　A11以前を対象としたBootROMエクスプロイト「checkm8」と同様、usbliter8では端末のUSBシリアル番号に「PWND」と表示される。

　一方で、Appleのセキュリティサブシステムである「Secure Enclave Processor」（SEP）そのものが侵害されるわけではない。そのため、パスコードによって保護された暗号化データが直ちに読み出される状況にはならない。

　ただし、アプリケーションプロセッサ側の信頼基盤が損なわれることで、SEPを標的とした別の攻撃経路が将来的に見つかる可能性があるとParadigm Shift Technologyは指摘している。

企業が確認すべきポイント

　攻撃には物理アクセスが必要であり、DFUモードに移行した端末をRP2350ベースのマイクロコントローラーに接続しなければならない。実行時間は2秒未満とされるが、遠隔から悪用する手法は確認されていない。

　Paradigm Shiftは実証コード公開前にApple Product Securityに情報を共有した。Appleも開示プロセスに参加したが、2026年6月19日時点でCVEは割り当てられておらず、Appleからのセキュリティアドバイザリーも公開されていない。

　今回の欠陥はシリコンレベルに存在するため、根本的な修正はハードウェアの更新以外にない。

　ただし、一般的な企業にとって直ちに大規模な端末刷新が必要になるわけではない。重要なのは、自社で利用中のA12およびA13世代の端末を把握し、物理アクセス管理が十分かどうかを確認することだ。特に政府機関や研究機関、高機密情報を扱う組織では、A14以降への移行計画を検討する価値がある。

　実証コードが公開されたことで、脱獄コミュニティーやモバイルフォレンジック事業者による利用拡大は避けられないとみられる。企業の端末管理担当者は、2018〜2020年ごろに導入されたiPhoneやiPadが現在も運用されていないかを確認するとともに、「遠隔攻撃は困難でも、物理的に奪取された端末は別のリスクを抱える」という前提で管理方針を見直す必要がありそうだ。