2026年6月18日、Cyber Security Newsはグル・バランの署名記事で、usbliter8と名付けられた新たなBootROM脆弱性を報じました。
研究を公表したのはParadigm Shiftで、Apple Product Securityとは公開前に協調的開示を行っています。現時点でPoCが対応しているのはApple A12(iPhone XS、iPhone XS Max、iPhone XR)、S4/S5(Apple Watch Series 4/Series 5)、A13(iPhone 11シリーズ、第2世代iPhone SE)を搭載したデバイスです。なお2018年のiPad ProはA12X搭載で、Paradigm ShiftはA12X/A12Zについて技術的対応は可能としつつ、現時点では未実装と説明しています。脆弱性はSynopsys製DWC2 USBコントローラーのバグと、ファームウェア設定の不備を連鎖させ、アプリケーションプロセッサのブートチェーンを侵害します。DOEPDMAレジスタが書き込みごとに可変量で増加する一方、リセット時には固定の24バイト分減少するため、12バイト刻みのバッファアンダーフローが生じます。A14以降はDARTが正しく設定されており悪用できません。BootROMは書き換え不能なため修正パッチはなく、A14以降への移行が最も有効な緩和策です。PoCは研究リポジトリで公開されています。
From: New iPhone BootROM Vulnerability Exposes Apple SoCs to Full Chain-of-Trust Compromise
【編集部解説】
なぜ今、innovaTopiaがこのニュースを取り上げるのか。それは「修正できない欠陥」という言葉が持つ重みを、読者のみなさんと共有したいからです。通常の脆弱性は、Appleがアップデートを配信すれば塞がります。しかし今回Paradigm Shiftが公表したusbliter8は、チップ製造時にシリコンへ焼き込まれたBootROMに存在するため、ソフトウェア更新では原理的に修正できません。影響を受けた端末は、その生涯にわたって脆弱性を抱え続けることになります。
この性質を理解する鍵が、2019年に公開された前任者「checkm8」です。checkm8はiPhone 4SからiPhone Xまでを対象とした、この種としては最後の公開BootROMエクスプロイトでした。usbliter8はその歴史を次世代チップへと延長し、iPhone XSからiPhone 11シリーズまでをカバーします。なお対象には、A13を搭載する第2世代iPhone SEも含まれます。つまり、checkm8が手を出せなかったA12・A13世代という「空白地帯」を、約7年越しに埋めた出来事なのです。
ここで強調しておきたい、元記事が触れていない最も重要な前提があります。この攻撃は遠隔では成立せず、DFU(デバイスファームウェアアップデート)モードにした端末へ、USBで物理的に接続する必要があります。物理アクセスとDFUモードが前提となるため、実際のリスクは限定的で、通常の利用で一般ユーザーがこの脅威に遭遇する可能性は低いと考えられます。手元のスマートフォンが今夜いきなり乗っ取られる、という話ではありません。
さらに付け加えれば、この攻撃のハードルは私たちが日常で意識するレベルよりずっと高いところにあります。脆弱性が一般的なMacやPCのUSBスタックでは到達できないコントローラーの領域に存在するため、攻撃の実行にはRP2350系のマイコンボード(Raspberry Pi Pico 2など)が必要だと報告されています。つまり、手元のケーブルで普通のパソコンにつなぐだけでは成立しないのです。
では何が「できるようになる」のか。歴史が教えてくれます。checkm8はjailbreak(脱獄)だけでなく、セキュリティ研究やフォレンジック(デジタル鑑識)によるデータ抽出の基盤として広く使われてきました。所有者が自分の端末を自由に扱う「修理する権利」や「所有権」の象徴になる一方で、押収された端末を解析する捜査手法にも転用されうる、両義的な技術なのです。
技術的な核心も、難解に見えて筋は明快です。研究者は、不自然に小さなパケットを巧妙に並べて送り込むことで、コントローラー内部のアドレスポインタを後方へと「歩かせ」、本来書き込めない保護領域へデータを書き込みます。前任のcheckm8同様、USBコントローラーという「玄関口」の処理の綻びを突いている点が共通しています。
なお、原因の解釈には当事者間で温度差があります。元記事はファームウェア設定の不備との連鎖と説明していますが、Paradigm Shift自身は、これをAppleのファームウェアの誤りではなく、USBコントローラーそのものに内在するハードウェアバグだと考えています。A11はパケットごとにDMAアドレスを手動でリセットするため安全で、A14以降はDARTを正しく設定しており、A12・A13だけが脆弱な「中間地帯」に取り残された格好です。
セキュリティ境界についても冷静に見る必要があります。usbliter8はSecure Enclaveを直接侵害するわけではありませんが、この種のBootROM侵害は、それを攻撃するためのより広い経路を開くと研究者は指摘しています。生体認証やパスコードという最後の砦が即座に破られるわけではないものの、攻撃の足場が一段深まったことは確かです。
長期的な視点で見れば、これはAppleのセキュリティ設計思想に対する静かな問いかけでもあります。checkm8が複数のjailbreakツールの土台となったように、usbliter8でも同じ展開が起こりうると指摘されています。研究者は技術解説とあわせて概念実証をGitHubで公開し、わずか数時間で280を超えるスターを集めました。コミュニティの関心の高さが、この発見の重みを物語っています。
innovaTopiaの読者のみなさんに伝えたいのは、これが「古いiPhoneは危険だ」という単純な警告ではない、ということです。書き換え不能なハードウェアにセキュリティを託すという設計には、堅牢さと引き換えに「間違えたら永久に直せない」という宿命が潜んでいます。AI専用チップや各種セキュアエレメントが製品の中核を占めていくこれからの時代に、私たちは「シリコンに刻む信頼」のもろさと向き合い続けることになるでしょう。
【用語解説】
BootROM(ブートROM/SecureROM)
端末の電源を入れたときに最初に実行される、チップ製造時にシリコンへ焼き込まれたコードである。書き換え不能(イミュータブル)なため、ここに欠陥があってもソフトウェア更新では修正できない。Appleのセキュアブートの起点であり、信頼の連鎖(チェーン・オブ・トラスト)の根を成す。
SoC(システム・オン・チップ)
CPUやメモリ制御、各種コントローラーなどを1つのチップに集積した半導体である。AppleのA12、A13や、Apple Watch向けのS4/S5がこれにあたる。
DFUモード(デバイスファームウェアアップデート)
iPhoneなどを最下層から復元・更新するための特殊な接続状態である。usbliter8はこの状態の端末へUSB接続することで初めて成立し、遠隔からは実行できない。
DWC2 USBコントローラー
Synopsysが設計したUSB制御回路で、AppleのSoCにも組み込まれている。今回の脆弱性は、このコントローラーがSetupパケットを処理する際のポインタ演算の食い違いに起因する。
DART(Device Address Resolution Table)
DMA(メモリへの直接アクセス)が触れてよい範囲を制限する、IOMMUと呼ばれるメモリ保護の仕組みである。A12・A13ではこれがバイパス(無効化)設定のため任意のSRAMを上書きでき、A14以降では正しく有効化されている。
PAC(ポインタ認証)
A13から導入された、メモリ上のポインタの改ざんを検知する保護機能である。研究者はこれを回避する多段階の手法を編み出した。
Secure Enclave(SEP)
生体認証やパスコードなどの機密情報を扱う、本体プロセッサから隔離された独立領域である。usbliter8はこれを直接破るわけではないが、間接的に攻撃する経路を広げると指摘されている。
jailbreak(脱獄)
メーカーが課した制限を解除し、端末を所有者の自由な管理下に置く行為である。BootROMエクスプロイトは、更新で塞がれない恒久的な脱獄の土台になりうる。
checkm8
2019年に公開された、iPhone 4SからiPhone X(A5〜A11)を対象とするBootROMエクスプロイトである。usbliter8の直接の前任者にあたる。
PoC(概念実証)
脆弱性が実際に悪用可能であることを示す実証コードである。今回はGitHubで公開された。
【参考リンク】
Paradigm Shift(公式サイト)(外部)
usbliter8を発見・公表した欧州拠点のセキュリティ研究企業。攻撃・防御両面の研究と助言を手がける。
Introducing usbliter8(技術解説)(外部)
バグの原因、悪用手法、事後の手順までを詳述した、発見者による一次情報の技術解説記事である。
Apple Platform Security(外部)
BootROMやSecure Enclave、セキュアブートなど本件に関わるAppleのセキュリティ設計の公式解説。
Synopsys(公式サイト)(外部)
脆弱性の起点となったDWC2 USBコントローラーを設計した半導体IP企業の公式サイト。
【参考記事】
New unpatchable exploit targets Apple devices with A12 and A13 chips(9to5Mac)(外部)
PoCがGitHubで公開され数時間で280超のスターを集めたと報じ、脱獄ツールの土台になる可能性に言及している。
Apple A12 and A13 devices face unpatchable ROM vulnerability(trendingworld)(外部)
物理アクセスとDFUモードが前提のため実際のリスクは限定的で、通常利用では遭遇しにくいと冷静に評価している。
Apple’s A12 and A13 Chips Facing New Unpatchable Exploit(MacRumors)(外部)
影響端末が生涯脆弱なままである点や、前任checkm8が2019年公開でiPhone 4S〜Xを対象とした点を解説している。
The first unpatchable iPhone exploit in six years(TechSpot)(外部)
攻撃に物理アクセスとマイコンボードが必要で、一般的なMac/PCのUSBスタックでは届かない領域だと報じている。
Millions of iPhones Have a Security Flaw That Apple Can Never Fix(iPhone in Canada)(外部)
A13搭載デバイスとして第2世代iPhone SEを明記し、A11が安全である理由も解説している。
【編集部後記】
いま手元にあるiPhoneは、あなたにとって「自由に扱える持ち物」でしょうか、それとも「貸し与えられた装置」でしょうか。今回のusbliter8は、シリコンに刻まれた信頼が、所有者の自由と捜査の手段という両方の顔を持つことを、改めて見せてくれました。書き換えられない強さと、間違えたら直せないもろさ。みなさんは、自分のデバイスにどこまでの「開けられなさ」を望みますか。よければ、その感覚をぜひ聞かせてください。私たちも一緒に考えていきたいと思っています。
