サンフランシスコ、2026年1月16日、01:07 PST
- 新たな警告がiPhoneユーザーにiOS 26.2(または旧モデルではiOS 18.7.3)へのアップデートと端末の再起動を促す
- Appleは、根本的なWebKitの脆弱性が「非常に高度な」標的型攻撃で悪用されたと述べている
- Tom’s Guideが引用したStatCounterの数字によると、iOS 26の普及が遅れており、多くの端末が古いソフトウェアのままになっている
新たな警告が、iPhoneユーザーに端末のアップデートと再起動を促している。報道によると、標的型攻撃へのセキュリティ修正がAppleの最新iOSリリースに結びついているという。
なぜ今重要なのか:Appleは、SafariやすべてのiPhoneブラウザの基盤となるWebKitの2つの脆弱性を、非常に高度な攻撃に結びつけている。攻撃は悪意のあるウェブコンテンツから始まり、日常的なブラウジングが潜在的な侵入口となりうる。
この呼びかけは、Appleのソフトウェア展開が混乱しているタイミングで行われている。 影響を受ける端末へのセキュリティ修正は、新しいiPhone向けのiOS 26.2と旧モデル向けのiOS 18.7.3にまたがっており、アップデートを遅らせているユーザーは自分が思っているよりも少ない保護しか受けられない。
Appleは セキュリティノートで、WebKitの問題が「iOS 26以前のバージョンを使う特定の標的型個人」を狙った「非常に高度な攻撃」で「悪用された可能性がある」との「報告を認識している」と述べた。Appleは、1件の報告についてGoogleのThreat Analysis Groupに謝意を示し、もう1件はAppleとGoogleで特定したと述べている。
バグはCVE-2025-14174およびCVE-2025-43529として追跡されていると、Appleのアドバイザリに記載されている。Appleは、修正がuse-after-freeの問題とメモリ破損の問題に対応しており、どちらも攻撃者がメモリを破壊し、ブラウザを誤った状態に誘導することでコードを実行できる可能性があるソフトウェア障害だと述べている。
リスクは1つのアプリに限られない。WebKitはSafariの基盤であり、AppleのiOSブラウザ規則のため、ChromeやFirefoxなど他のiPhoneブラウザもブランド名が異なっていてもWebKit上で動作している。
データによると、多くのユーザーがまだ移行していない。 Tom’s Guideが引用したStatCounterの数字によれば、2026年1月時点でiOS 26の普及率はiPhoneの15.4%にとどまり、過去のiOSアップグレードのペースを大きく下回っていると同サイトは報じている。
ためらいの一因はセキュリティではなくインターフェースにある。BGRは今週、iOS 26.2がAppleの「 Liquid Glass」デザインの可読性を高める新オプションを追加し、ロック画面の時計用の新しい「Glass」と「Solid」の選択肢や透明度を減らすトグルが含まれていると報じた。
セキュリティ企業によれば、再起動の手順は見た目だけのものではありません。 Malwarebytesの研究者ピーテル・アーンツは1月13日に、再起動によって「メモリ常駐型マルウェア」— デバイスの作業メモリ上で動作するコード — を「永続性を獲得していない限り、排除できる」と書き、「自分は標的ではない」という考え方は「安全対策として成り立たない」と主張しました。
Appleは別途、セキュリティ関連のニュースに便乗した詐欺に注意するようユーザーに警告しています。「Appleの脅威通知がリンクのクリックを求めることは決してありません」と同社は述べ、メッセージ内の指示に従うのではなく、Appleアカウントにサインインして通知を確認するようユーザーに勧めています。
それでも、再起動とアップデートのサイクルでできることには限界があります。Appleは誰が標的になったのか、攻撃がどのように行われたのかを明らかにしておらず、攻撃者が永続性を獲得していた場合や、他に未修正の脆弱性が存在する場合には、再起動は役に立ちません。同社自身の表現も、消費者全体に広がる大規模な感染ではなく、標的型の攻撃であることを示唆しており、最大の不確実性は、攻撃ツールが初期の被害者以外にも拡大するかどうかです。
