アップルがパッチ適用をiOS 26.2まで待った理由
目ざといiPhoneセキュリティ関係者は気づいているかもしれないが、アップルは今回の緊急アップデートについて、セキュリティのみを目的としたiOS 26.1.1を出すのではなく、iOS 26.2のリリースまで待つ判断をしている。
その理由は、アップルがiOS 26.1で「バックグラウンドセキュリティ改善」と呼ばれる機能をすでに有効化しているからだ。この機能は、こうしたセキュリティ更新をバックグラウンドで随時自動的に適用する。
iOS 26.1にアップグレードし、この機能を有効にしている場合、今回のスパイウェア攻撃からiPhoneはすでに保護されていることになる。
これが、iOS 18ではなく、選択すべきアップデートとしてiOS 26.1を推奨している理由でもある。もしiOS 26からiOS 26.1へのアップデートを行っていないのであれば、そのままiOS 26.2へ一気に移行するのが当然の選択だといえる。
iOS 26.2で修正された欠陥は、より広範な攻撃連鎖の一部である可能性
Keeper SecurityのCEOで共同創業者のダレン・グッチオーネは、iOS 26.2で修正された問題は、より広範な攻撃チェーン(攻撃の一連の流れ)の一部である可能性があると話す。攻撃者は、複数の脆弱性を組み合わせてゼロデイ脆弱性同士を連鎖させたり、重要コンポーネントに見落とされていた弱点を突いたりすることで、端末の多層的なセキュリティ防御を迂回できると同氏は説明する。「すべてのiPhoneブラウザーの基盤となっているWebKitは、ウェブコンテンツとオペレーティングシステムの交点に位置するため、依然として主要な標的になっています」と述べる。
この種の脆弱性が公開され、パッチが提供された際には、タイミングが重要になるとグッチオーネは警告する。「アップルが修正プログラムを出すと、脆弱性の詳細は急速に公知となり、まだパッチが適用されていない端末を攻撃者が悪用するための『設計図』を与えてしまいます。ユーザーがアップデートを先延ばしにすればするほど、リスクは高まります」と述べている。
iOS 26.2で修正されたようなWebKitの脆弱性は、特に危険性が高いと、Salt Securityの英国・アイルランド地域マネージャーであるグリン・モーガンは指摘する。これは、そうした脆弱性が「ユーザーの操作、ブラウザーの実行処理、その下で動くAPIの交差点」に位置しているためだという。「WebKitの脆弱性が悪用されると、各種の制御をすり抜け、暗号化されたアプリであっても深い監視を可能にしてしまいます」とモーガンは述べる。
iOS 26.2で修正されたカーネルの脆弱性もまた深刻だと、ESET(イーセット)のグローバル・サイバーセキュリティアドバイザーであるジェイク・ムーアは言う。カーネルは「オペレーティングシステムのまさに中核部分に位置する」ためである。「この脆弱性が悪用されると、悪意あるペイロード(攻撃コード)が権限をエスカレーションし、通常のアプリの境界を事実上突破して、より高いレベルのアクセス権を得ることを許してしまう可能性がある」と同士ムーアは説明する。
今すぐiPhoneをiOS 26.2にアップデートすべき理由とは
アップルのiOS 26.2には、魅力的な新機能も多数含まれており、その多くはiPhoneのセキュリティ強化にもつながる。iOS 26.2では、「Enhanced Safety Alerts(強化された安全性アラート)」機能にも改良が加えられる(日本では「設定」>「通知」>「緊急地震速報/災害・避難情報」として提供されている)。
さらにiOS 26.2では、賛否の分かれる「Liquid Glass」機能向けの新しいオプション、ポッドキャストの機能拡張、ミュージックにおけるオフラインでの歌詞表示対応、睡眠スコアの見直し、リマインダー用アラーム、EU域内でのAirPodsのライブ翻訳機能なども追加される。
注目すべきは、iOS 26.2でパッチが当てられた2件のWebKitの問題が、いずれもiOS 26より前のバージョンで悪用されていた点であり、今すぐiPhoneをアップグレードすることの重要性を物語っていることだ。アップルはiOS 26.2と同時にiOS 18.7.3も提供しており、古いメジャーバージョンを使い続けたい場合でも、この危険な脆弱性を修正するためにiPhoneをアップデートすることが可能となっている。
では、何をためらう理由があるだろうか。「設定」>「一般」>「ソフトウェアアップデート」と進み、今すぐiOS 26.2またはiOS 18.7.3へ更新すべきだ。
