Appleは、悪意のあるウェブサイトがブラウザ保護をバイパスして他のサイトのデータにアクセスできる可能性があるフローにパッチを当てるためのバックグラウンドセキュリティ改善をリリースしました。
それは何ですか?
パッチが当たったWebKit脆弱性は以下のように説明されています:
「Navigation APIのクロスオリジン問題は、改善された入力値検証によって対処されました。」
WebKit脆弱性とは、iOSおよびmacOS上のSafari、Mail、およびApp Storeを駆動するAppleのウェブレンダリングエンジンのセキュリティフローを指します。
つまり、CVE-2026-20643脆弱性により、悪意のあるウェブサイトが別のサイト(信頼しているサイトかもしれません)になりすまし、分離されているべき情報を読み取ったり盗んだりすることが可能になります。通常、ブラウザは「同一オリジンポリシー」と呼ばれるルールを実装しています。これはあるサイトが別のサイトのデータを覗き見られないようにする厳密なフェンスのようなものです。このバグはサイバー犯罪者がそのフェンスを破るのを助ける可能性があります。
実際には、攻撃者はまずあなたを特別に作られたウェブページに誘い込む必要があります。あなたがそれにアクセスすると、そのページはサイト間の通常の分離をバイパスしようとし、別のタブのデータや異なるサービスからの埋め込みコンテンツなど、見るべきではないものにアクセスできる可能性があります。
攻撃者は現在この欠陥を実際に利用しているようには見えませんが、他のバグと組み合わせてアカウントや機密データを盗くのが好きです。これはおそらくAppleにバックグラウンドセキュリティ改善として提供するきっかけになりました。Appleの修正はWebKitがクロスサイトナビゲーションをどのようにチェックし処理するかをより厳密にします。
何をするべきか
WebKit脆弱性のこのパッチはCVE-2026-20643として追跡されており、バージョン26.3.1/26.3.2の上にインストールされ、別の完全なOSバージョンとしてはインストールされません。バックグラウンドセキュリティ改善は最新のOSブランチ(26.x)でのみ利用可能であり、最新バージョンを使用している場合は背景でサイレントに適用されます。
iOSおよびiPadOSユーザーの場合、設定 > 一般 > ソフトウェアアップデートに移動することで、最新のソフトウェアバージョンを使用しているかどうかを確認できます。まだ有効にしていない場合は、自動更新を有効にする価値があります。同じ画面で実行できます。
macOS Tahoeユーザーの場合、Appleメニューから最新の26.3バージョンを使用しているかどうかを確認できます。画面の左上隅で、このMacについてを選択します。そこに表示される情報にはmacOSの名前とバージョン番号が含まれています。ビルド番号も知りたい場合は、バージョン番号をクリックして見てください。
このバックグラウンドセキュリティ改善は、Tahoeを実行しているMacユーザー26.3.1とMacBook Neoユーザー26.3.2を実行しているユーザーのみが利用可能です。
すべてのユーザーがしなければならないことは、バックグラウンドセキュリティ改善オプションが有効に設定されているかどうかを確認することです。
iPhoneおよびiPadユーザーの場合、この設定はプライバシーとセキュリティの下にあり、スクロールダウンしてバックグラウンドセキュリティ改善トグルを探すことができます。
Mac(macOS Tahoe 26.3.+のみ)では、次の指示に従って確認できます:
- Appleメニュー > システム設定をクリックします。
- サイドバーで、プライバシーとセキュリティをクリックします。
- 右側にスクロールダウンして、バックグラウンドセキュリティ改善をクリックします。
- 自動的にインストールがオンになっていることを確認してください。オフの場合、修正が後の完全なアップデートにロールインされるまで、Macはバックグラウンドセキュリティ改善を取得しません。
私のスクリーンショットのインストールオプションは、それをクリックすることでプロセスを高速化できることを意味します。ただし、それが自動的に発生するまで待つのは問題ありません。
アップデート後、OSバージョンは26.3.1(a)を表示すべきですが、MacBook Neosを除き26.3.2(a)である必要があります。
