iOS 26.2の緊急セキュリティアップデートでWebKit零日2件を修正—今すぐ更新を

Appleは緊急のiOS 26.2向けセキュリティアップデートを公開し、現実の標的型攻撃で既に悪用されていた危険な脆弱性2件を封じた。同社は、被害はごく限られたユーザーを狙う高度な侵入で、狙いはスパイウェアに結びつくものであり、大量のデータ窃取や金銭目的の犯行ではないと説明している。現場での悪用が確認された時点で、対応を急ぐ理由は十分だ。

脆弱性はいずれもWebKitに存在する。WebKitはSafariのエンジンであり、iPhoneとiPad上ではサードパーティ製ブラウザも例外なくこれを使う。実際には、悪意あるウェブサイトを開くだけで攻撃が引き起こされる恐れがあった。CVE-2025-43529とCVE-2025-14174として追跡されるこの2件は、同じ攻撃チェーンの一部として使われたとAppleは説明している。要するに、入口はブラウザだ。

1件目はWebKitの不適切なメモリ処理により、端末上で任意コード実行を許してしまう欠陥。2件目はGoogleのThreat Analysis Groupと連携して特定されたもので、同じくブラウザエンジンの挙動に関わる。Appleは、メモリ管理の厳格化と追加のチェックで両方に対処したとしており、攻撃者への“設計図”にならないよう詳細は明かしていない。ここは慎重さが功を奏する場面だ。

パッチはiOSとiPadOS、macOS、watchOS、tvOS、visionOS、そしてSafariまで、Appleのエコシステム全体に行き渡っている。iOSではすべてのブラウザがWebKitを必ず使うため、iPhoneに入っているChromeなどの代替ブラウザも影響を受ける。生態系全体を一気にふさぐアプローチは、攻撃の足場を減らすうえで理にかなっている。

Appleは、アップデートをためらわずに適用するよう改めて呼びかけている。ゼロデイ攻撃の多くは、まず古いソフトウェアの端末を狙うためだ。標的型攻撃の恐れがある人にはロックダウンモードの利用も勧め、端末の過熱、急なバッテリー消耗、Safariの不調といった異常挙動にも注意を促す。結論は明快だ。早めに更新して、攻撃者に付け入る隙を与えない。後回しにする理由は見当たらない。