アップルは、iOS 26ユーザー向けに、iPadOSおよびmacOSとあわせて新たなセキュリティアップデートを公開したことを認めた。これは、Safariや他のブラウザーを支えるWebKit技術の脆弱性に対処するものだ。
アップルが「バックグラウンドセキュリティ改善」と呼ばれるアップデートを配信したのは今回が初めてだが、受け取るには適切な設定を有効にしておく必要がある。以下では、CVE-2026-20643の詳細、対象となるアップルのOSバージョン、そして次のフルのiOSアップデートを待たずに直ちに保護を受けるために必要な手順を解説する。
CVE-2026-20643から身を守るためにiOS 26ユーザーがすべきこと
アップルが新たに導入したバックグラウンドセキュリティ改善のプロセスを使って修正した脆弱性には、共通脆弱性識別子(CVE)としてCVE-2026-20643が付与され、共通脆弱性評価システム(CVSS)の深刻度は「高」と評価されている。
OpenCVEはこの脆弱性を「Navigation APIにおけるクロスオリジンの問題」と説明しており、攻撃者が悪意のあるウェブコンテンツを利用して「同一オリジンポリシーを回避」できる可能性があるとしている。このポリシーの役割を理解すれば、問題の重大さは明白である。同一オリジンポリシーとは、ブラウザー内でサイト間のプライバシーを守る壁として機能する仕組みだ。Jamfのシニア・エンタープライズ・ストラテジー・マネージャーであるアダム・ボイントンは筆者にこう語った。「同一オリジンポリシーは、あるウェブサイトが別のサイトの個人情報にアクセスするのを防いでいます。この脆弱性を悪用すれば、悪意のあるウェブコンテンツが別のサイトのデータにアクセスできてしまう可能性があります」。
この脆弱性はセキュリティ研究者トーマス・エスパッハがアップルに報告したもので、今回初めてバックグラウンドセキュリティ改善の仕組みを使い、入力検証の強化によって修正された。アップルの説明によれば、この仕組みはシステムライブラリ、Safari、WebKitコンポーネントなどに対する「軽量なセキュリティリリース」を配信するものである。重要なのは、通常のフルソフトウェアアップデートのサイクルを待たずに配信できる点だ。保護を受けるためにiOSの次のバージョンを待つ必要はない。
「企業にとっては、このアップデートを直ちに適用することが極めて重要です。先延ばしにすれば、デバイスと業務が脆弱なまま放置されることになります」とボイントンは述べた。「さらに重要なのは、アップデートが自動的に適用されるよう設定しておくことです。そうすれば、攻撃者に悪用される隙を与えずに済みます」。
そしてここが肝心なところである。このアップデートはiOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1、macOS 26.3.2のユーザーが対象だが、バックグラウンドセキュリティ改善機能が有効になっていなければ受け取ることができない。
アップルはiOS 26ユーザーに対し、「設定」>「プライバシーとセキュリティ」>「バックグラウンドセキュリティ改善」の順に進み、「自動インストール」のトグルが有効になっていることを確認するよう推奨している。
