Appleは、削除対象として指定された通知が削除されずにデバイスのローカルストレージ内に残存するというiPhoneおよびiPadアーキテクチャ内の重大な脆弱性に迅速に対処しました。
CVE-2026-28950としてカタログ化されたこの欠陥は、2026年4月22日にiOS 26.4.2とiPadOS 26.4.2のリリース、および従来サポートバージョンのiOS 18.7.8とiPadOS 18.7.8のリリースを通じて修正されました。公式発表の中で、同社は削除対象としてマークされた通知がハードウェア上に意図せず残存する可能性があることを認めました。データ削除プロトコルの改善により問題は軽減されましたが、細かい技術的詳細は未開示のままです。
Appleは、この悪用が実際の侵害で兵器化されたかどうかについて沈黙を保っており、またこの異例の帯外パッチの背景にある動機について明確にしていません。データ保持期間や内容復旧の実行可能性に関する技術的なニュアンスについても、同様に謎に包まれたままです。
この展開は、FBIによる最近の法医学的成功という観点から特に重要です。その中で、捜査官が、ユーザーが通信を削除していたにもかかわらず、容疑者のiPhone上のSignalメッセンジャーからメッセージを成功裏に抽出しました。テレメトリーはSignの暗号化リポジトリからではなく、iOSの内部通知データベースから収集されました。アプリケーション自体がアンインストールされた後でも、これらのメッセージはシステム内に根強く残っていました。
Signの代表者らは、欠陥の迅速な解決に対してAppleに感謝を表明し、そのようなシステム的な不備がプライベート通信の完全性を直接損なうことを指摘しました。Appleがこの更新を前述のインシデントに明示的に関連付けていませんが、脆弱性の説明はそのケースで観察された通知の永続性と正確に一致しています。
ユーザーは遅滞なく最新のファームウェア更新をインストールすることを強く推奨します。さらに、Signの設定内で通知プレビューを制限することでプライバシーを強化することができます。メッセージ内容をマスクするか、システムを設定して送信者の身元のみを表示するかのいずれかです。
