AppleはiPhoneおよびiPadのセキュリティアップデートをリリースしました。このアップデートはCVE-2026-28950を修正します。これは通知サービスのロギングの問題で、削除対象としてマークされた通知をデバイスが予期せず保持していました。
この脆弱性は、最近の報告に続いて修正されました。その報告では、FBIが容疑者のiPhone上のSignal通知メッセージコンテンツにアクセスしたというものです。デバイスからSignalが削除されていたにもかかわらずです。
いつものように、Appleは欠陥についてさらに詳しい情報を提供しませんでした。問題は改善されたデータ削除で対処されたと述べただけです。
また、同社は脆弱性が悪用されたことを明記していません。そのため、CVE-2026-28950が当局によって利用された欠陥であるかどうかは、当初は確認されていません。
(ただし、明らかだったのは、Signalメッセージを取得することができた脆弱性は、人気のセキュアメッセージングアプリの中ではなく、Appleの内部通知ストレージにあったということです。)
Signalは最終的に、CVE-2026-28950とFBIが使用したバグは同じものであることを確認しました。
「ここでの迅速な対応と、この種の問題の重要性を理解し行動に移してくれたAppleに感謝します。プライベート通信の基本的人権を保護するには、エコシステムが必要です」と、同社は述べました。
あなたがすべきこと
AppleはCVE-2026-28950をiOS and iPadOS 26で修正し、iOS and iPadOS 18でも修正しました。後者のアップデートは、多くの旧世代のiPhoneおよびiPadで利用可能です。
「iOS上のSignalユーザーを保護するために、この修正のための操作は必要ないことに注意してください。パッチをインストールすると、不用意に保持されていたすべての通知が削除され、削除されたアプリケーションの今後の通知は保持されません」とSignalは指摘しました。
デバイスの通知ストレージに何らかのメッセージを保持したくないユーザーは、Signalアプリの設定を開き、通知に移動して、通知コンテンツセクションで2番目の(「名前のみ」)または3番目のオプション(「名前またはコンテンツなし」)を選択できます:
Signalの「通知コンテンツ」設定のオプション
これにより、ユーザーのロックされたphoneを操作する者が、ユーザーが受け取るSignalメッセージのコンテンツを(通知から)読むことを防ぐことができます。
翻訳元: https://www.helpnetsecurity.com/2026/04/23/cve-2026-28950-iphone-vulnerability-notifications-signal/
