2026年2月、AppleがiOSに存在するゼロデイ脆弱性CVE-2026-20700の緊急パッチをリリースしました。Hacker Newsでも大きな話題になっており、セキュリティ研究者の間では「実際の攻撃に使われた可能性がある」との見方が広がっています。私も手持ちのiPhoneをすぐにアップデートしたので、その経緯と対策をまとめておきます。
CVE-2026-20700とは何か
この脆弱性は、iOSのWebKitエンジンに存在するメモリ破壊の問題です。攻撃者が細工されたWebコンテンツをユーザーに閲覧させることで、任意のコードを実行できる可能性があります。深刻度はCVSSスコアで8.8(High)と評価されており、リモートからの攻撃が可能な点が特に危険とされています。
Appleのセキュリティアップデート情報ページでは、「この脆弱性が実際に悪用された可能性がある」との記載があり、これはいわゆる「ゼロデイ」—パッチが出る前に攻撃が行われていたことを意味します。
影響を受けるデバイスとバージョン
影響範囲は想像以上に広く、以下のデバイスが対象となっています。
- iPhone 8以降(iOS 18.3.2で修正)
- iPad Air(第3世代)以降
- iPad mini(第5世代)以降
- macOS Sequoia 15.3.2
- Safari 18.3.1(macOS Ventura/Sonoma向け)
WebKitベースの脆弱性なので、iOS上のすべてのブラウザ(Chrome、Firefoxも含む)が影響を受けるのがポイントです。iOSではすべてのブラウザがWebKitを使用する仕様になっているためです。
攻撃シナリオと実害
具体的な攻撃手法については、Appleは詳細を公開していません。ただし、セキュリティ研究者の分析によると、攻撃の流れは以下のようなものだと推測されています。
- 攻撃者がフィッシングメールやSMSで悪意あるURLを送信
- ユーザーがリンクをタップしてSafari等でページを開く
- WebKitの脆弱性を突いてサンドボックスを回避
- 端末内のデータにアクセス、またはスパイウェアをインストール
過去の類似事例では、ジャーナリストや活動家のデバイスが標的になったケースが報告されてきました。Paragonスパイウェアの流出事件でも触れたように、国家レベルの攻撃者がゼロデイを利用するパターンは珍しくありません。
今すぐやるべき対策
最も重要なのは、すぐにデバイスをアップデートすることです。手順を改めて確認しておきましょう。
- 「設定」→「一般」→「ソフトウェアアップデート」を開く
- iOS 18.3.2(またはそれ以降)が表示されたらインストール
- macOSユーザーはSequoia 15.3.2へのアップデートも忘れずに
加えて、以下の予防策も有効になります。
- ロックダウンモードの有効化 — 高リスクなユーザー向けにAppleが提供している機能で、WebKit関連の攻撃面を大幅に減らせます
- 不審なリンクを開かない — 基本中の基本ですが、改めて徹底する価値があるでしょう
- 自動アップデートの有効化 — 設定で「セキュリティ対応と緊急セキュリティ対応」をオンにしておくと安心です
ゼロデイが増え続ける背景
GoogleのThreat Analysis Groupのレポートによると、2025年に確認されたゼロデイ脆弱性は過去最多を更新する勢いだったとのことです。その傾向は2026年も続いているように見えます。
背景には、スパイウェア市場の拡大があります。セキュリティ企業への投資が増える一方で、攻撃側の技術も高度化しているのが現状です。いたちごっこの構図が解消される気配は正直なところありません。
まとめ
CVE-2026-20700はiOSユーザー全員に影響する深刻な脆弱性です。まだアップデートしていない方は、この記事を読んだらすぐに「設定」を開いてください。Windowsメモ帳の脆弱性に続き、身近なソフトウェアのゼロデイが次々と発見される状況が続いています。自分のデバイスは自分で守る意識が、これまで以上に重要になってきたと感じています。