Apple 0-Day Flaw Actively Exploited in Targeted Cyberattacks on Individuals
2026/02/12 gbhackers — Apple が公開した、iOS/iPadOS 向けの緊急セキュリティ・アップデートは、実際の攻撃でハッカーたちに悪用されている、深刻なゼロデイ脆弱性を修正するためのものだ。この脆弱性 CVE-2026-20700 は、Google の Threat Analysis Group により発見されたものであり、Apple によると、特定の個人を標的とする “きわめて高度な” サイバー攻撃で悪用された可能性があるという。
深刻な脆弱性:CVE-2026-20700
この脆弱性は、オペレーティング・システム の中核コンポーネント Dynamic Link Editor (dyld) に存在する。アプリを起動した際に、プログラム/ライブラリ を読み込む役割を担うのが、dyld コンポーネントである。
- 問題の内容:この件は、メモリ破損バグに起因する。つまり、システムがメモリ使用を適切に管理できず、抜け穴が生じる。
- 危険性:この抜け穴を悪用する攻撃者は、任意コード実行を引き起こせる。それにより、iPhone/iPad 上で悪意のコマンドが実行され、スパイウェアのインストールやデータ窃取に至る恐れがある。
Apple は通常、進行中の攻撃に関する詳細を公表しない。しかし、このバグが、著名な標的に対して悪用された可能性があることを認めている。
さらに同社は、今回の脆弱性 が、過去のアップデートで修正済みの CVE-2025-14174/CVE-2025-43529 と関連していると指摘している。
セキュリティ研究者たちによると、攻撃者は一連のバグを連鎖させている。つまり、1つの脆弱性を悪用して ブラウザ へ侵入し、今回の dyld の脆弱性によりデバイスの完全な制御を奪取するという、攻撃チェーンが引き起こされている。
この脆弱性の影響が及ぶ範囲は、広範な Apple デバイスとなる。以下を使用しているユーザーに、影響が生じる可能性がある。
- iPhone:iPhone 11 以降のモデル。
- iPad:iPad Pro (2018 年以降の全モデル)/iPad Air 第 3 世代以降)/iPad mini (第 5 世代以降)。
このゼロデイ脆弱性が、最も緊急性の高い問題であるが、iOS 26.3 アップデートでは、他の複数の深刻なバグも修正されている。
- Bluetooth および Wi-Fi:近接する攻撃者による端末のクラッシュや、トラフィック傍受が可能になる。
- Photos/Contacts:ロック状態の端末を所持する第三者が、機微なユーザー情報や写真の閲覧を可能にする。
- Kernel:悪意のアプリによる、root 権限の不正取得を引き起こす。
脆弱性 CVE-2026-20700 は、すでに攻撃者により悪用されているため、速やかなアップデートの適用が重要となる。
デバイス上で Settings > General > Software Update を開き、iOS 26.3/iPadOS 26.3 をダウンロードしてほしい。
Apple の iOS/iPadOS において、特定の個人を狙う高度なサイバー攻撃に悪用されている、ゼロデイ脆弱性が修正されました。この問題の原因は、プログラムやライブラリをシステムに読み込む中核コンポーネント dyld におけるメモリ管理の不備にあります。脆弱性 CVE-2026-20700 を悪用する攻撃者は、任意コード実行を引き起こせると指摘されています。Google TAG により報告されたバグは、ブラウザの脆弱性などの不備と連鎖することで、デバイス全体の制御を奪取するために悪用可能なことが判明しています。よろしければ、iOS + iPadOS での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.