Appleは2026年2月11日(米国時間)、iPhone/iPad向けに「iOS 26.3」「iPadOS 26.3」を公開し、複数の脆弱性修正を実施しました。対象はiPhone 11以降、iPad Pro(12.9インチ第3世代以降/11インチ第1世代以降)、iPad Air第3世代以降、iPad第8世代以降、iPad mini第5世代以降です。
今回の更新で特に注目されるのは、dyld(動的リンカ)に関する脆弱性で、Appleは「iOS 26より前のバージョンで、特定の個人を狙った極めて高度な攻撃で悪用された可能性がある」との報告を把握していると説明しています(CVE-2026-20700)。
攻撃者がメモリ書き込み能力を持つ場合に任意コード実行につながり得る内容で、標的型攻撃への悪用警戒が必要です。
どんな脆弱性が修正されたのか
Appleの公開情報によると、今回のアップデートではプライバシー露出、権限昇格、サンドボックス回避、DoS(サービス妨害)、情報漏えいなど幅広い修正が含まれます。
代表的な例は以下の通りです。
-
ロック中の端末情報の露見:物理アクセスが可能な攻撃者が、ロック状態でも機微情報を見られる可能性(アクセシビリティ/VoiceOver/Live Captions関連など)。
-
任意ファイル書き込み:CFNetworkのパス処理の問題により、リモートの攻撃者が任意ファイルを書き込める可能性(CVE-2026-20660)。
-
root権限の取得につながり得る不具合:CoreServicesやKernelなどで、アプリがroot権限を得る可能性が示される修正が複数含まれます。
-
BluetoothのDoS:細工したBluetoothパケットでDoSが可能となる恐れ(CVE-2026-20650)。
-
サンドボックス回避:アプリがサンドボックスを抜け出す可能性(libxpc/Sandbox関連)。
利用者・組織が取るべき対応
今回の内容は「標的型攻撃での悪用可能性」への言及もあり、一般ユーザーでも後回しにしないほうが安全です。iPhone/iPadはiOS 26.3/iPadOS 26.3へ速やかに更新することが基本対応になります。
企業・組織では、以下を優先度高く進めるのが現実的です。
-
iOS/iPadOSの更新適用状況(MDM含む)を可視化し、未更新端末を早期に解消
-
物理アクセスを前提に成立するリスクもあるため、端末紛失対策(パスコード、画面ロック、紛失時ワイプ)を再点検
-
既存のセキュリティ運用(VPN、Webフィルタ、添付ファイル取り扱い)と合わせ、OS更新を「前提条件」として運用設計する








