バグ使い方ニュース

Apple、サイトがユーザーのデータにアクセスできる可能性のあるWebKitの脆弱性を修正

ピーター・アルンツ| 2026年3月18日
アップル

Appleは、悪意のあるウェブサイトがブラウザの保護機能を回避し、他のサイトのデータにアクセスできる可能性のある脆弱性を修正するため、「バックグラウンドセキュリティの改善」をリリースしました

それは何ですか?

修正されたWebKitの脆弱性は、次のように説明されています:

「Navigation API のクロスオリジンに関する問題が、入力検証の強化によって解決されました。」

WebKitの脆弱性とは、iOS 、Mail、App Storeを支えるAppleのWebレンダリングエンジンに存在するセキュリティ上の欠陥を指します。

つまり、CVE-2026-20643の脆弱性により、悪意のあるウェブサイトが別のサイト(例えば、ユーザーが信頼しているサイトなど)になりすまし、本来は分離されているべき情報を読み取ったり盗んだりすることが可能になってしまうということです。 通常、ブラウザは「同一生成元ポリシー」と呼ばれるルールを適用しており、これはあるサイトが別のサイトのデータを覗き見できないようにする厳格な防護壁のようなものです。このバグにより、サイバー犯罪者がその防護壁を突破できてしまう可能性があります。

実際には、攻撃者はまず、特別に細工されたWebページにユーザーを誘導する必要があります。そのページにアクセスすると、サイト間の通常の分離を迂回して、本来は閲覧できないはずの、別のタブのデータや異なるサービスの埋め込みコンテンツなどにアクセスしようとする可能性があります。

現時点では、攻撃者が実環境でこの脆弱性を悪用している様子は見られないが、攻撃者はアカウントや機密データを盗むために、このような問題を他のバグと組み合わせて利用することが多いため、Appleはこれを「バックグラウンドでのセキュリティ改善」としてリリースしたものとみられる。Appleの修正により、WebKitによるクロスサイトナビゲーションのチェックと処理が強化された。

どうすればいい

CVE-2026-20643として追跡されているWebKitの脆弱性に対するこのパッチは、独立したOSのフルバージョンとしてではなく、バージョン26.3.1/26.3.2の上にインストールされます。バックグラウンドでのセキュリティ改善は、最新のOSブランチ(26.x)でのみ利用可能であり、最新バージョンを使用している場合は、バックグラウンドで自動的に適用されます。

iOS の方は、「設定」>「一般」>「ソフトウェア・アップデート」から、お使いのソフトウェアが最新バージョンかどうかを確認できます。まだ設定していない場合は、「自動アップデート」をオンにしておくことをお勧めします。設定は同じ画面から行えます。

macOS Tahoeをご利用の方は、Appleメニューから、お使いのバージョンが最新の26.3かどうかを確認できます。画面の左上にある「Macについて」を選択してください。そこにはmacOSの名称とバージョン番号が表示されます。ビルド番号も確認したい場合は、バージョン番号をクリックすると表示されます。

このバックグラウンドセキュリティの改善機能は、Tahoe26.3.1を実行しているMac 26.3.2 を実行している MacBook Neo ユーザーのみが利用可能です。

ユーザーは、「バックグラウンドでのセキュリティ強化」オプションが有効になっているか確認するだけで済みます

iPhoneおよびiPadをご利用の方は、「Privacy セキュリティ」の設定項目から、画面を下にスクロールして「バックグラウンドでのセキュリティ強化」のトグル を探してください。

セキュリティの強化機能を自動的にインストールする
セキュリティの強化機能を自動的にインストールする

Mac macOS Tahoe 26.3.+ のみ)では、以下の手順に従って確認できます:

  1. 「Apple」メニューをクリックし、「システム設定」を選択します。
  2. サイドバーで、[ Privacy とセキュリティ]をクリックします。
  3. 右側の画面を下にスクロールし、「セキュリティ機能の改善」をクリックしてください。
  4. 「自動インストール」がオンになっていることを確認してください。オフになっている場合、修正内容が後のフルアップデートに組み込まれるまで、Mac 「バックグラウンドでのセキュリティ改善」Mac 。

スクリーンショットの「インストール」オプションは 、これをクリックすることで処理を早めることができるという意味です。ただし、自動的に完了するまで待っても問題ありません。

アップデート後、OSのバージョンは26.3.1 (a)と表示されるはずです。ただし、MacBook Neoの場合は26.3.2 (a)となります。

私たちは電話セキュリティについて報告するだけでなく、それを提供します。

サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐ Malwarebytes foriOS Malwarebytes forAndroidダウンロードして、モバイルデバイスに脅威を持ち込まないようにしましょう。

著者について

ピーテル・アルンツ

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。

最新記事

詐欺
「Fake Pudgy World」サイト

「Fake Pudgy World」というサイトが、ユーザーの暗号資産のパスワードを盗み出しています

3月17, 2026

このフィッシングサイトは、Igloo Inc.やPudgy Penguinsとは一切関係がありませんが、ファンを誘い込み、仮想通貨のパスワードを盗むことを目的として作成されています。

モバイル
車輪付きのトロイの木馬がスマートフォンの画面に侵入する

Google、アクセシビリティ機能を悪用するAndroid への取り締まりを強化

3月17, 2026

マルウェアは長年にわたり、Androidアクセシビリティ機能を悪用してきました。Googleは、その悪用を大幅に困難にしました。

Privacy
悪用されたウェブサイト

ハッキングされたサイトが、Windows に情報窃取型マルウェア「Vidar」を配布している

3月16, 2026

ハッキングされたWordPressサイト上で、Windows 騙してVidar情報窃取型マルウェアをインストールさせる偽の「人間であることを確認する」ページを発見しました。

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺