會原 
Appleは2026年2月11日(現地時間)、iOS/iPadOS/macOS/tvOS/watchOS/visionOS向けのセキュリティアップデートを公開しました。ゼロデイ脆弱性CVE-2026-20700の修正を含んでおり、同社は「悪用された可能性がある」とする報告を認識していると説明しています。影響を避けるためにも早めの更新がよさそうです。
CVE-2026-20700は、AppleのOS群が共通で利用するDynamic Link Editor「dyld」に存在するメモリ破損の脆弱性です。dyldはアプリ起動時に共有ライブラリやフレームワークを読み込む基盤コンポーネントで、ここに不具合があると影響が広範囲に及ぶ可能性があり、攻撃者がメモリ書き込み能力を持つ状況で悪用すると、任意コード実行につながるおそれがあります。NVDではCISA-ADPがCVSS v3.1スコア7.8(High)を付与しています。
Appleはこの脆弱性について、iOS 26より前のバージョンを使う特定の個人を標的にした「極めて高度な攻撃」で悪用された可能性がある、という報告を認識しています。攻撃の具体的手法や被害状況は公表していないそうです。発見・報告者として、政府支援型の攻撃を追跡するGoogleの調査チーム「Threat Analysis Group(TAG)」の名前が挙がっています。
Appleはあわせて、2025年12月12日公開の更新で対処済みのCVE-2025-14174とCVE-2025-43529についても「この報告への対応として発行された」と説明しています。ただし、この2件が同一の攻撃で実際にどう使われたかまでは明らかにしていません。
今回のアップデートはiOS 26.3/iPadOS 26.3(iPhone 11以降など)、macOS Tahoe 26.3、tvOS 26.3、watchOS 26.3、visionOS 26.3と幅広いOS向けに配信。旧バージョン向けにもiOS 18.7.5/iPadOS 18.7.5などを用意しているとのことです。報道によると、iOS 26.3/iPadOS 26.3は合計38件、macOS Tahoe 26.3は50件超の脆弱性に対処しているそうです。Appleが「悪用された可能性」に言及しているのは、少なくともこのアップデート群ではCVE-2026-20700のみだといいます。
米国CISAは2026年2月12日、CVE-2026-20700を「既知の悪用済み脆弱性カタログ(KEV)」に追加し、連邦政府機関に対して期限(2026年3月5日)までの対応を求めました。2026年に入ってAppleが「悪用の報告」に言及した最初のゼロデイ案件だとする報道もあります。一般ユーザーでも、対象OSを使っているなら早めに最新バージョンへ更新しておくのが無難でしょう。
