Appleの新しいメモリ整合性強化機能は、iPhone 17とiPhone Airの内部でシールドのように機能し、スパイウェアが利用するメモリトリックをブロックし、デバイスをハッキングしようとする者のハードルを上げます。その仕組みをご紹介します。
Apple Security Engineering and Architectureが2025年9月9日に発表したこの機能は、5年間にわたるハードウェアとソフトウェアの開発の集大成です。同社は、この機能をコンシューマー向けOSに搭載されたメモリ安全性における最も重要な進歩と表現しています。
メモリ整合性強制(MIE)は、高度なスパイウェアの常套手段であるメモリ破壊攻撃を防ぐために設計されています。Appleは、ほとんどのiPhoneユーザーがこの種の攻撃に遭遇することは決してないと慎重に指摘しています。
WindowsやAndroidデバイスを悩ませているマルウェアの蔓延は、iOSには同じような形で襲っていません。Appleは、真の敵は、通常は政府に雇われた傭兵スパイウェア集団だと主張しています。
彼らのツールの開発には数百万ドルの費用がかかり、ごく少数の重要ターゲットに対してのみ使用される。NSOグループのスパイウェア「ペガサス」は最も有名な例で、ゼロクリック攻撃によってiPhoneに静かに侵入する能力を持つ。
iOSを標的とした既知のスパイウェア攻撃はすべて、メモリ破損の脆弱性を悪用していました。これらのバグにより、攻撃者は開発者が意図しない方法でメモリを上書きすることができ、任意のコードを実行する可能性が出てきます。
もし Apple がその経路を遮断できれば、スパイウェアの経済性は劇的に変化するだろう。
システムの仕組み
MIEの中核は、Appleの長年にわたるメモリセーフ言語(Swiftなど)とセキュアアロケータの取り組みと、新たなシリコンレベルの保護技術を融合したものです。その基盤は、2019年に初めて公開されたArmのMemory Tagging Extensionです。
AppleはArmと協力し、MIEを改良版であるEMTEへと改良しました。EMTEは、抜け穴を塞ぎ、より強力なルールを適用できるように調整されています。MIEでは、すべてのメモリブロックに隠しタグ(基本的には秘密コード)を付与する必要があります。
ハードウェアは、そのメモリの使用要求が正しいコードを提示しているかどうかを確認します。タグが一致しない場合、システムは直ちにアクセスをブロックし、プロセスをシャットダウンします。これにより、バッファオーバーフローやメモリ使用後のバグの悪用が大幅に困難になります。
エンジニアリングの推進
Appleは、サイドチャネル攻撃や投機的実行の脆弱性を悪用した攻撃者によるコードへの不正アクセスを防ぐため、「タグ機密性強制」などの安全対策を強化しました。これは、数年前にCPU界を揺るがしたSpectre型攻撃への明確なオマージュです。
Appleは既存のチップにメモリ整合性強化機能を追加するだけにとどまらず、A19とA19 Proのシリコンの大部分をこの機能のサポートに充てました。
この設計には、専用のCPUスペース、メモリ、カスタムロジックが含まれています。これらのリソースにより、パフォーマンスを損なうことなく、バックグラウンドで静かに保護機能を実行できます。
ソフトウェアも変化を余儀なくされました。Appleはkalloc_type、xzone malloc、WebKitのlibpasといったセキュアアロケータを基盤として構築してきましたが、EMTEは、同一メモリバケット内の小さな割り当てなど、Appleがカバーできなかったギャップを埋めるようになりました。
この取り組みには、Appleの攻撃セキュリティ研究者による長年の研究が含まれており、彼らはMIEをあらゆる段階で突破しようと試みました。同社によると、テスト中にあらゆる種類の攻撃戦略が排除され、攻撃者の選択肢は大幅に減少したとのことです。
Appleは新しい保護機能を自社内に留めておくつもりはありません。Xcodeの「拡張セキュリティ」設定を通じて、拡張メモリタグ付け拡張機能(Enhanced Memory Tagging Extension)を利用できるようにしています。
この拡張機能により、開発者はシステムを保護するのと同じメモリ整合性チェックの下で自社のアプリをテストできるようになります。その結果、MIE の適用範囲はオペレーティングシステムを超えて拡大し、サードパーティ製アプリが同様の攻撃に対する防御を強化することが促進されます。
攻撃者への影響
Appleの視点から見ると、この対策はあらゆるバグをブロックすることではなく、むしろ、スパイウェアの悪用コストを非常に高く設定し、金儲け主義のスパイウェア開発者がわずかな見返りで数百万ドルを浪費する事態を招くことを目的としている。
これは典型的なセキュリティ対策です。攻撃チェーンを脆弱にし、実使用に耐えられないようにするのです。攻撃者は通常、複数の脆弱性を巧みに組み合わせてデバイスを完全に制御しようとします。
Appleによると、MIEはこうした脆弱性を早期かつ頻繁に遮断しているという。同社独自の評価では、以前は有効だった脆弱性を再構築して新しいシステムを回避できなかった。技術的に生き残った数少ない脆弱性も、信頼性の低い行き止まりであることが判明した。
この設計には専用のCPUスペース、メモリ、カスタムロジックが含まれています。画像クレジット:Apple
それは理にかなっています。チェーンの各リンクが最後のリンクに依存している場合、1つでも壊れると、多くの場合、全体の取り組みが失敗に終わります。スパイウェアベンダーは別のバグを単に差し込むことはできません。最初からやり直さなければなりません。
ユーザーにとって何を意味するか
メモリ整合性の強制はバックグラウンドで静かに実行されるため、ほとんどのiPhoneユーザーはその動作に気付かないかもしれません。常にオンになっており、バッテリー寿命やパフォーマンスに目に見える形で影響を与えることはありません。
この機能は、ジャーナリスト、反体制派、企業幹部など、標的にされやすい人々を守るために開発されました。彼らにとって、このセキュリティ強化は人生を変えるほどの大きな力となるでしょう。
Googleは高リスクユーザー向けのオプション機能として独自のMTEを提供していますが、AppleはすべてのiPhone 17とiPhone AirでMIEをデフォルトにしました。また、AppleはXcodeを通じてすべての開発者にツールを提供しています。
完璧なセキュリティなど存在しませんが、Appleはコストを引き上げ、攻撃の信頼性を低下させることで、多くの傭兵スパイウェア集団を遠ざけることができると考えています。MIEがAppleの説明通りに機能すれば、監視技術の経済性を一変させ、攻撃者を再び白紙の状態に戻す可能性があります。
