iOS 26.2――すべてのiPhoneユーザーは「今すぐアップデート」せよ

アップルはiOS 26.2を公開すると同時に、iPhoneを今すぐアップデートするよう促している。これは、iOS 26.2がアップルのiOSソフトウェアに存在していた26件の脆弱性を修正しており、そのうち2件についてはすでに実際の攻撃で悪用されているためだ。

アップルは、攻撃者が詳細を入手する前にiPhoneユーザーができるだけ早くアップデートできるよう、iOS 26.2で何が修正されたのかについて多くを明らかにしていない。しかし同社は、Safariブラウザーを支えるエンジンであるWebKitに存在していた2件の脆弱性については、iOS 26より前のバージョンを使う特定の個人を標的とした「極めて高度な攻撃」で悪用された可能性があるとして、これをiOS 26.2で修正したと説明している。

iOS 26.2で修正された、すでに悪用が確認されているこれら2件の問題は、CVE-2025-43529およびCVE-2025-14174として追跡されており、互いに関連している。1つ目の脆弱性は、ユーザーが細工された悪意のあるウェブコンテンツとやり取りした場合に、任意のコードが実行されるおそれがあるものだ。アップルはサポートページで「この報告に対応してCVE-2025-14174も発行された」と述べている。

アップルのiOS 26.2はまた、iPhoneのカーネルに存在していたCVE-2025-46285として追跡される脆弱性も修正している。この脆弱性が悪用されると、アプリがroot（ルート）権限を取得できてしまう可能性がある。

KnowBe4のリードCISOアドバイザーであるジャヴァド・マリクは、攻撃者が電話に対するrootアクセスを得れば、「事実上その端末を支配することになります」と指摘する。アプリのサンドボックスを迂回し、メッセージやログインコードを読み取り、ネットバンキングのセッションを乗っ取ることも可能になるからだ。

マリクによると、サイバー犯罪者は、修正パッチが公開されることでその存在や詳細が明らかになった脆弱性をすぐさま武器化して悪用すると警告する。「ユーザーは、リンクやポップアップではなく、スマートフォンの設定画面から今すぐアップデートを実行し、友人や家族にも同じようにするよう促すべきです」と述べている。

■iOS 26.2のリリースと並行して報告されるiPhoneスパイウェア

iOS 26.2のリリースは、アップルが自社デバイスがスパイウェアの標的となっていることを認めたタイミングと重なる。同社は、このステルス性の高いマルウェアの標的になっていると警告するサイバー脅威通知を、少なくとも80か国のユーザーに送信した。

この種のスパイウェアは極めて標的が限定されており、反体制派、ジャーナリスト、特定分野で事業を行う企業など、iPhoneユーザーの一部を狙うものだ。しかし一度端末に入り込めば、WhatsAppのような暗号化されたアプリ経由の通信も含め、ユーザーのあらゆる行動を見聞きできてしまう。

■アップルがパッチ適用をiOS 26.2まで待った理由

目ざといiPhoneセキュリティ関係者は気づいているかもしれないが、アップルは今回の緊急アップデートについて、セキュリティのみを目的としたiOS 26.1.1を出すのではなく、iOS 26.2のリリースまで待つ判断をしている。

その理由は、アップルがiOS 26.1で「バックグラウンドセキュリティ改善」と呼ばれる機能をすでに有効化しているからだ。この機能は、こうしたセキュリティ更新をバックグラウンドで随時自動的に適用する。

iOS 26.1にアップグレードし、この機能を有効にしている場合、今回のスパイウェア攻撃からiPhoneはすでに保護されていることになる。

これが、iOS 18ではなく、選択すべきアップデートとしてiOS 26.1を推奨している理由でもある。もしiOS 26からiOS 26.1へのアップデートを行っていないのであれば、そのままiOS 26.2へ一気に移行するのが当然の選択だといえる。

■iOS 26.2で修正された欠陥は、より広範な攻撃連鎖の一部である可能性

Keeper SecurityのCEOで共同創業者のダレン・グッチオーネは、iOS 26.2で修正された問題は、より広範な攻撃チェーン（攻撃の一連の流れ）の一部である可能性があると話す。攻撃者は、複数の脆弱性を組み合わせてゼロデイ脆弱性同士を連鎖させたり、重要コンポーネントに見落とされていた弱点を突いたりすることで、端末の多層的なセキュリティ防御を迂回できると同氏は説明する。「すべてのiPhoneブラウザーの基盤となっているWebKitは、ウェブコンテンツとオペレーティングシステムの交点に位置するため、依然として主要な標的になっています」と述べる。

この種の脆弱性が公開され、パッチが提供された際には、タイミングが重要になるとグッチオーネは警告する。「アップルが修正プログラムを出すと、脆弱性の詳細は急速に公知となり、まだパッチが適用されていない端末を攻撃者が悪用するための『設計図』を与えてしまいます。ユーザーがアップデートを先延ばしにすればするほど、リスクは高まります」と述べている。

iOS 26.2で修正されたようなWebKitの脆弱性は、特に危険性が高いと、Salt Securityの英国・アイルランド地域マネージャーであるグリン・モーガンは指摘する。これは、そうした脆弱性が「ユーザーの操作、ブラウザーの実行処理、その下で動くAPIの交差点」に位置しているためだという。「WebKitの脆弱性が悪用されると、各種の制御をすり抜け、暗号化されたアプリであっても深い監視を可能にしてしまいます」とモーガンは述べる。

iOS 26.2で修正されたカーネルの脆弱性もまた深刻だと、ESET（イーセット）のグローバル・サイバーセキュリティアドバイザーであるジェイク・ムーアは言う。カーネルは「オペレーティングシステムのまさに中核部分に位置する」ためである。「この脆弱性が悪用されると、悪意あるペイロード（攻撃コード）が権限をエスカレーションし、通常のアプリの境界を事実上突破して、より高いレベルのアクセス権を得ることを許してしまう可能性がある」と同士ムーアは説明する。

■今すぐiPhoneをiOS 26.2にアップデートすべき理由とは

アップルのiOS 26.2には、魅力的な新機能も多数含まれており、その多くはiPhoneのセキュリティ強化にもつながる。iOS 26.2では、「Enhanced Safety Alerts（強化された安全性アラート）」機能にも改良が加えられる（日本では「設定」＞「通知」＞「緊急地震速報/災害・避難情報」として提供されている）。

さらにiOS 26.2では、賛否の分かれる「Liquid Glass」機能向けの新しいオプション、ポッドキャストの機能拡張、ミュージックにおけるオフラインでの歌詞表示対応、睡眠スコアの見直し、リマインダー用アラーム、EU域内でのAirPodsのライブ翻訳機能なども追加される。

注目すべきは、iOS 26.2でパッチが当てられた2件のWebKitの問題が、いずれもiOS 26より前のバージョンで悪用されていた点であり、今すぐiPhoneをアップグレードすることの重要性を物語っていることだ。アップルはiOS 26.2と同時にiOS 18.7.3も提供しており、古いメジャーバージョンを使い続けたい場合でも、この危険な脆弱性を修正するためにiPhoneをアップデートすることが可能となっている。

では、何をためらう理由があるだろうか。「設定」>「一般」>「ソフトウェアアップデート」と進み、今すぐiOS 26.2またはiOS 18.7.3へ更新すべきだ。