不可修正の usbliter8 が A12/A13 の SecureROM ブートチェーンを突破、物理アクセスで永続的なコード実行を可能に

Apple A12 および A13 世代の SoC に搭載された SecureROM に対し、物理的な攻撃を前提とした不可修正の脆弱性「usbliter8」が公表された。この脆弱性を悪用すると、DFU モードに移行させた端末を USB 接続した状態で、2 秒以内に SecureROM 内で任意のコードを実行できる。SecureROM は半導体の製造段階で書き込まれるため、ソフトウェアアップデートによる修正は不可能であり、影響を受ける端末は使用期間中常に脆弱な状態が続くことになる。

攻撃には、DFU モードに移行した端末を専用の RP2350 ベースのマイクロコントローラ基板に USB 接続することが必要条件となる。研究チームはこの攻撃手法の技術詳細と動作を実証する Proof of Concept (PoC) を 2026 年 6 月 18 日に公開し、Apple Product Security への調整開示を経た後に一般公開に至った。公開された PoC は A12、A13、S4、S5 世代の SoC に対応しているが、A12X および A12Z については理論的には可能だが現時点では実装されていないとされている。

影響を受けるデバイスは幅広く、iPhone XS、XS Max、XR、iPhone 11 シリーズ、第 2 世代 iPhone SE、第 3 世代 iPad Air、第 5 世代 iPad mini、第 8 世代 iPad、Apple Watch Series 4/5、第 1 世代 Apple Watch SE、HomePod mini など、これらの SoC を搭載するほぼ全ての Apple 製品が該当する。一方で A11 世代以下は影響を受けず、A14 世代以降はこの攻撃経路では突破できないと研究チームは結論付けている。

SecureROM とは何か、なぜこの脆弱性が致命的なのか

SecureROM は、Apple の SoC に搭載される不揮発性メモリ領域であり、デバイスの起動時に最初に実行されるコードが格納されている。このコードは半導体の製造段階で書き込まれ、その後一切変更されることがないため、通常のソフトウェアアップデートでは修正できない。SecureROM は、ハードウェアの完全性を保証するための「信頼の根源」として機能しており、この領域が侵害されると、デバイス全体のセキュリティが根底から揺らぐことになる。

従来、SecureROM を狙った攻撃は主にソフトウェア的な手法で試みられてきたが、usbliter8 は物理的なアクセスを前提とした新しい攻撃ベクトルである。DFU モードに移行させた端末に対して USB 接続を介して攻撃を行うことで、SecureROM 内のコード実行が可能となる。この攻撃は非常に短時間で完了するため、攻撃者は端末を短時間手にするだけで、永続的な改ざんやバックドアの埋め込みが可能になる。

DMA ポインタのアンダーフローが引き起こすメモリ破壊

usbliter8 の核心は、USB コントローラ内の DMA ポインタ管理に存在する設計上の矛盾にある。攻撃に用いられる RP2350 マイクロコントローラ基板は、USB Setup パケットを DMA 経由で受信すると、受信したデータをバッファに書き込む際にポインタを操作する。通常は 4 つ目のパケット受信時にポインタを 24 バイト戻す処理が行われるが、攻撃者はそれよりも小さなサイズのパケットを送信することで、実際に書き込まれたバイト数だけポインタを進める。これにより、ポインタが意図せず後方にずれていく「アンダーフロー」が発生し、メモリ領域を繰り返し上書きできるようになる。

このアンダーフローが悪用されるのは、A12 および A13 世代の SoC において USB DART（Device Address Resolution Table、IOMMU に相当する機構）が SecureROM 内で「バイパスモード」で動作しているためだ。バイパスモードでは DMA によるメモリアクセス制限が実質的に無効化されており、アンダーフローによってポインタが SRAM 内の任意の領域を指すようになると、攻撃者は SRAM を自由に書き換えることが可能になる。

A11 と A14 以降で回避されている理由

A11 世代の SoC では、USB ドライバが各パケット受信後に DMA アドレスを手動でリセットする設計になっており、このためにアンダーフローが蓄積されることはない。その結果、A11 世代以下の SoC は usbliter8 の影響を受けない。一方、A14 世代以降では USB DART の設定が正しく行われており、DMA によるメモリアクセスが適切に制限されるため、この脆弱性を悪用することはできないと研究チームは分析している。

A12 世代では、DMA バッファが USB タスクのスタックとヒープ上で隣接して配置されているため、攻撃者は保存されたリンクレジスタを上書きすることで、次回のコンテキストスイッチ時にプログラムカウンタを制御できるようになる。一方、A13 世代では Pointer Authentication（PA）と呼ばれるセキュリティ機構が導入されているため攻撃は困難だが、研究チームは依然として攻撃経路を発見し、実証に成功したとしている。

影響範囲：対象デバイスとビジネス・個人ユーザーへの影響

この脆弱性が影響を及ぼすデバイスは非常に広範囲に及ぶ。具体的には、iPhone XS、XS Max、XR、iPhone 11 シリーズ、第 2 世代 iPhone SE、第 3 世代 iPad Air、第 5 世代 iPad mini、第 8 世代 iPad、Apple Watch Series 4 および 5、第 1 世代 Apple Watch SE、HomePod mini など、A12 および A13 世代の SoC を搭載するほぼすべての Apple 製品が該当する。これらのデバイスは、2018 年から 2020 年にかけて発売された機種が中心だが、現在でも幅広く利用されている。

企業や官公庁でこれらの端末を業務利用している場合、機密情報の漏洩や不正アクセス、さらには持続的なバックドアの埋め込みといったリスクが生じる。特に、端末の一時的な紛失や盗難が起きた際には、攻撃者によってデバイスが改ざんされ、内部ネットワークへの侵入経路として悪用される可能性がある。また、個人ユーザーにとっても、オンラインバンキングや SNS アカウントの乗っ取り、プライバシーの侵害といった深刻な被害に直面するリスクが高まる。

物理的な攻撃に対する限界と、現実的なリスク評価

usbliter8 は物理的なアクセスを前提としているため、リモート攻撃による悪用は不可能だ。このため、大規模なインターネット経由の攻撃キャンペーンには直ちにつながりにくいが、標的型攻撃や組織的なサイバー攻撃においては依然として深刻な脅威となる。例えば、スパイ活動や知的財産の窃取を目的とした攻撃者、あるいは国家レベルの攻撃グループが、特定のターゲットに対してこの脆弱性を悪用する可能性は否定できない。

また、DFU モードへの移行が必要であるとはいえ、攻撃にかかる時間はわずか 2 秒程度と非常に短いため、公共の場やオフィス内で端末を短時間手にするだけで攻撃が成立してしまうリスクがある。このため、特に機密情報を取り扱う環境では、端末の物理的な管理を徹底することが重要となる。

代替手段と回避策：ユーザーと組織が取るべき対策

残念ながら、この脆弱性に対するソフトウェアアップデートによる修正は不可能であるため、完全な解決策は存在しない。しかし、ユーザーおよび組織は以下のような対策を講じることで、リスクを最小限に抑えることができる。

まず、A12 および A13 世代の端末を業務で使用している組織は、可能な限り早急に A14 以降の端末への移行を検討することが望ましい。A14 以降ではこの脆弱性が存在しないため、ハードウェアレベルでのリスクが解消される。また、端末の紛失や盗難が発生した際には、直ちにリモートロックやデータ消去を実行することで、攻撃の実行を防ぐことができる。

個人ユーザーにとっては、端末を常に手元から離さないこと、公共の場に置き忘れないことが基本的な対策となる。また、重要なアカウントには多要素認証を導入し、万が一デバイスが改ざんされた場合でも二次被害を防ぐ体制を整えることが重要だ。さらに、定期的なバックアップの実施により、万が一のデータ損失に備えることも推奨される。

今後の展望：ハードウェアセキュリティの再考

usbliter8 の発見は、ハードウェアレベルのセキュリティ設計における見落としが、いかに深刻な影響を及ぼすかを改めて示す事例となった。特に、SecureROM のような根幹部分の脆弱性は、ソフトウェアアップデートでは修正できないため、設計段階からの徹底的なセキュリティレビューが不可欠である。

Apple を含む半導体メーカー各社は、今後同様の脆弱性が発見されないよう、DMA やメモリアクセス制御の設計を見直す必要がある。また、研究者との協調的な脆弱性開示プロセスを継続し、新たな攻撃手法に対する迅速な対応を図ることが求められる。一方で、ユーザー側もハードウェアレベルの脆弱性が存在することを前提としたセキュリティ対策を講じる必要があり、今後ますますハードウェアとソフトウェアの両面からのセキュリティ強化が求められるだろう。

まとめ：不可避のリスクと、今できること

usbliter8 の発見は、Apple A12/A13 世代の端末に対する永続的なセキュリティリスクを明らかにした。物理的なアクセスを前提としたこの攻撃は、ソフトウェアアップデートでは修正できず、影響を受ける端末は使用期間中常に脆弱な状態が続く。このため、ユーザーおよび組織は、リスクを最小化するための具体的な対策を早急に講じる必要がある。

特に、機密情報を取り扱う環境では端末の物理的な管理を徹底し、A14 以降の端末への移行を検討することが重要だ。また、紛失や盗難時のリモートロックやデータ消去機能を活用することで、攻撃の実行を防ぐことができる。ハードウェアレベルの脆弱性は避けられないものの、適切な対策を講じることでリスクを最小限に抑えることは可能であり、今後もセキュリティ意識の向上と技術的な対策の継続が求められる。