アップルはiOS 26.2を公開すると同時に、iPhoneを今すぐアップデートするよう促している。これは、iOS 26.2がアップルのiOSソフトウェアに存在していた26件の脆弱性を修正しており、そのうち2件についてはすでに実際の攻撃で悪用されているためだ。
アップルは、攻撃者が詳細を入手する前にiPhoneユーザーができるだけ早くアップデートできるよう、iOS 26.2で何が修正されたのかについて多くを明らかにしていない。しかし同社は、Safariブラウザーを支えるエンジンであるWebKitに存在していた2件の脆弱性については、iOS 26より前のバージョンを使う特定の個人を標的とした「極めて高度な攻撃」で悪用された可能性があるとして、これをiOS 26.2で修正したと説明している。
iOS 26.2で修正された、すでに悪用が確認されているこれら2件の問題は、CVE-2025-43529およびCVE-2025-14174として追跡されており、互いに関連している。1つ目の脆弱性は、ユーザーが細工された悪意のあるウェブコンテンツとやり取りした場合に、任意のコードが実行されるおそれがあるものだ。アップルはサポートページで「この報告に対応してCVE-2025-14174も発行された」と述べている。
アップルのiOS 26.2はまた、iPhoneのカーネルに存在していたCVE-2025-46285として追跡される脆弱性も修正している。この脆弱性が悪用されると、アプリがroot(ルート)権限を取得できてしまう可能性がある。
KnowBe4のリードCISOアドバイザーであるジャヴァド・マリクは、攻撃者が電話に対するrootアクセスを得れば、「事実上その端末を支配することになります」と指摘する。アプリのサンドボックスを迂回し、メッセージやログインコードを読み取り、ネットバンキングのセッションを乗っ取ることも可能になるからだ。
マリクによると、サイバー犯罪者は、修正パッチが公開されることでその存在や詳細が明らかになった脆弱性をすぐさま武器化して悪用すると警告する。「ユーザーは、リンクやポップアップではなく、スマートフォンの設定画面から今すぐアップデートを実行し、友人や家族にも同じようにするよう促すべきです」と述べている。
iOS 26.2のリリースと並行して報告されるiPhoneスパイウェア
iOS 26.2のリリースは、アップルが自社デバイスがスパイウェアの標的となっていることを認めたタイミングと重なる。同社は、このステルス性の高いマルウェアの標的になっていると警告するサイバー脅威通知を、少なくとも80か国のユーザーに送信した。
この種のスパイウェアは極めて標的が限定されており、反体制派、ジャーナリスト、特定分野で事業を行う企業など、iPhoneユーザーの一部を狙うものだ。しかし一度端末に入り込めば、WhatsAppのような暗号化されたアプリ経由の通信も含め、ユーザーのあらゆる行動を見聞きできてしまう。
