Appleは先日、iOS 26.4をリリースし、ベータ版から正式版へと移行しました。このアップデートには、単なる機能追加やバグ修正に留まらない、35以上の深刻なセキュリティ脆弱性に対するパッチが含まれています。特に注目すべきは、iPhoneの「盗難デバイス保護」機能を迂回する問題や、ユーザーのパスワードを管理するキーチェーンへの不正アクセスリスクなど、デバイスの根幹を揺るがしかねない脆弱性が修正された点です。これらの問題は、ユーザーのプライバシーとセキュリティに直接影響するため、すべてのiPhoneユーザーは速やかにアップデートを適用することが強く推奨されます。
「盗難デバイス保護」を迂回する深刻な脆弱性(CVE-2026-28895)
今回のアップデートで最も注目すべきは、iOS 26.4の主要なセキュリティ強化機能である「盗難デバイス保護」を迂回できてしまう脆弱性(CVE-2026-28895)が修正されたことです。この脆弱性は、物理的にiPhoneにアクセスできる攻撃者が、デバイスのパスコードを知っているだけで、Face IDやTouch IDで保護されたアプリにアクセスできてしまうというものでした。
「盗難デバイス保護」機能は、iPhoneが自宅や職場などの慣れた場所から離れた見知らぬ場所にあり、かつFace IDやTouch IDが使用できない場合に、パスコードだけでは特定の操作(Apple IDパスワードの変更、デバイスの消去など)を許可しないことで、盗難されたiPhoneが悪用されるのを防ぐことを目的としています。しかし、この脆弱性により、ユーザーがアプリのアイコンを長押しして設定できる「Face IDを要求」オプションが有効になっていても、パスコードだけでアプリが開かれてしまう可能性がありました。これは、この機能の前提を根本から覆すものであり、ユーザーの個人情報や機密データが危険にさらされるリスクをはらんでいました。Appleは、チェック機能の改善によりこの問題を修正したと発表しています。
キーチェーンへの不正アクセスリスク(CVE-2026-28864)
もう一つ、ユーザーにとって非常に深刻な影響を及ぼす可能性があったのが、キーチェーンへの不正アクセスに関する脆弱性(CVE-2026-28864)です。詳細な情報は少ないものの、Appleによると、権限チェックの不備により、ローカル攻撃者がキーチェーン内のアイテムにアクセスできてしまう可能性があったとされています。
キーチェーンは、パスワード、暗号化キー、トークンなど、ユーザーのデジタル生活における最も機密性の高い情報を安全に保存する役割を担っています。この脆弱性が悪用された場合、攻撃者は物理的にデバイスを手にすることで、これらの重要な情報にアクセスし、他のアカウントへの不正ログインや、さらなる攻撃の足がかりとすることが可能になります。これは、ローカルでの特権昇格に繋がりかねない極めて重大な問題であり、「盗難デバイス保護」がまさに防ごうとしているシナリオと重なります。
メールプライバシー設定の機能不全(CVE-2026-20692)
プライバシー保護を重視するユーザーにとって懸念されるのが、メールアプリのプライバシー設定が意図通りに機能していなかった可能性です(CVE-2026-20692)。この脆弱性により、「IPアドレスを非表示」および「すべてのリモートコンテンツをブロック」という設定が、一部のメールコンテンツに適用されていなかったことが明らかになりました。
つまり、これらの設定を有効にしていたにもかかわらず、送信者からIPアドレスが隠されず、リモートコンテンツがブロックされずに読み込まれてしまっていた可能性があります。これは、ユーザーが意識しないうちに、メールの開封状況やIPアドレスが追跡され、プライバシーが侵害されていたかもしれないことを意味します。サイレントに機能が停止していることは、ユーザーの信頼を損なうだけでなく、プライバシー保護の観点からも看過できない問題です。
印刷機能を通じたサンドボックスエスケープ(CVE-2026-20688)
セキュリティの基本原則の一つである「サンドボックス」を迂回する脆弱性も修正されました(CVE-2026-20688)。この脆弱性は、Printingフレームワーク(AirPrintの一部)におけるパス処理の問題により、アプリが自身のサンドボックスから抜け出すことを可能にするものでした。
サンドボックスは、アプリがシステムや他のアプリに与える影響を制限し、悪意のある動作を防ぐための重要なセキュリティメカニズムです。サンドボックスエスケープは、攻撃チェーンにおける極めて重要なリンクであり、一度サンドボックスを突破されると、攻撃対象領域が大幅に拡大し、より深刻なシステム侵害に繋がる可能性があります。この脆弱性の修正は、iOSデバイス全体のセキュリティ体制を強化する上で不可欠です。
WebKitにおける複数の深刻な脆弱性
Safariなどのウェブブラウザの基盤となるWebKitエンジンにおいても、複数の深刻な脆弱性が修正されました。具体的には、7つのCVEに加え、サンドボックス関連の問題も含まれています。特に注目すべきは、Same Origin Policyバイパス(CVE-2026-20643)、Content Security Policyバイパス(CVE-2026-20665)、そして悪意のあるウェブサイトがサンドボックス外で制限されたウェブコンテンツを処理できてしまうバグ(CVE-2026-28859)です。
これらのWebKitの脆弱性は、ユーザーがウェブサイトを閲覧するだけで、情報漏洩やデバイスの乗っ取りに繋がる可能性を秘めています。ウェブブラウザは日常的に使用されるアプリケーションであるため、その基盤となるエンジンの脆弱性は、広範囲のユーザーに影響を及ぼす可能性があります。特に、制限されたウェブコンテンツがサンドボックス外で処理される問題は、ウェブベースの攻撃に対する防御機構が機能しなくなることを意味し、極めて危険です。
ユーザーが今すぐ取るべき対策と影響
今回修正された脆弱性はいずれも、現時点では「実際に悪用された」という報告はありません。しかし、「盗難デバイス保護」のバイパス、キーチェーンへのアクセス問題、メールプライバシー設定の機能不全など、その深刻度は非常に高く、一般的なバグ修正とは一線を画します。これらの問題は、ユーザーの個人情報、プライバシー、そしてデバイスの安全性を直接脅かすものです。
したがって、すべてのiPhoneユーザーは、可能な限り速やかにiOS 26.4へのアップデートを適用することが強く推奨されます。アップデートは、これらの深刻な脆弱性からデバイスを保護し、安心してiPhoneを使用するための最も効果的な手段です。また、アップデート後も「盗難デバイス保護」が有効になっているか、メールのプライバシー設定が意図通りになっているかなど、セキュリティ設定を再確認することも重要です。
こんな人におすすめ
- iPhoneのセキュリティとプライバシーを重視するすべてのユーザー
- 最新のセキュリティ脅威からデバイスを保護したい方
- 「盗難デバイス保護」機能の有効性を最大限に活用したい方
まとめ
iOS 26.4のリリースは、単なる定期アップデートではなく、iPhoneユーザーのセキュリティとプライバシーを強化するための重要な一歩です。今回修正された脆弱性の内容は、デバイスの物理的な盗難からウェブ閲覧に至るまで、多岐にわたる脅威に対応するものであり、Appleがセキュリティ対策に継続的に注力していることを示しています。ユーザーは、これらの情報を理解し、速やかにアップデートを適用することで、自身のデジタル資産を保護し、より安全なモバイル体験を享受できるでしょう。
情報元:9to5mac.com