iPhone「iOS 26」の“Webサイトを見るだけ”で危険にさらされる脆弱性とは？：フォントに潜む危険

2025年9月にAppleがリリースした「iOS 26」に脆弱性が見つかり、同社はセキュリティアップデートを公開した。エンドユーザーが気付かないうちにメモリが破壊される恐れがある脆弱性だという。その仕組みとは。

[Alex Scroxton，TechTarget]

　Appleは、2025年9月15日（米太平洋時間、以下同じ）にリリースした「iOS 26」に対して、初のセキュリティアップデートとなるバージョン「26.0.1」を同月29日に公開した。このアップデートは、OSが文字を表示する際にフォント情報を処理するコンポーネント「FontParser」に存在する脆弱（ぜいじゃく）性「CVE-2025-43400」を修正するものだ。

コンテンツを見るだけで危険を生む脆弱性

併せて読みたいお薦め記事

iOSのセキュリティ対策

• そのアプリ危険かも？　“野良アプリ”から「Android」「iOS」を守る防御策
• そのiPhoneは監視されていた――Googleが語る「スパイウェア」の背筋が凍る実態

　CVE-2025-43400は、プログラムが本来使用してはいけないメモリ領域にデータを書き込む「境界外書き込み」の脆弱性だ。米国立標準技術研究所（NIST）の脆弱性情報データベース「National Vulnerability Database」（NVD）は、CVE-2025-43400を「中程度の深刻度」に分類している。

　セキュリティベンダーHackuityで戦略担当バイスプレジデントを務めるシルバ・コルテス氏は、FontParserについて、「フォントファイルを解釈し、アプリケーションやドキュメント、Webサイトで文字を表示するためのコンポーネント」だと説明する。ドキュメントやメール、Webサイトが開かれると、OSは自動でフォントファイルを読み込む。これはエンドユーザーが意識しないうちに実行されるため、悪意のあるフォントファイルを用いた攻撃に気付きにくく、フォントファイルに存在する脆弱性のリスクを高めている。CVE-2025-43400を悪用することで、デバイスではアプリケーションのクラッシュや、実行中プロセスが使用しているメモリの破損といった、予期しない動作が発生する可能性がある。

　プロセスメモリの破損は特に危険だ。特定の条件下では、攻撃者による不正なシステムアクセスやデータ窃取、遠隔での不正プログラムの実行（RCE：リモートコード実行）などを可能にする挙動を引き起こし、一連の攻撃の足掛かりになる可能性があるからだ。

　セキュリティ研究、教育機関SANS Technology Instituteのヨハネス・ウルリッヒ氏によると、CVE-2025-43400がRCEに悪用可能かどうかは不明だ。ただしランサムウェア（身代金要求型マルウェア）攻撃の踏み台として悪用される可能性は十分にあるという。

　Appleは、広範なエンドユーザーを対象とした攻撃に悪用されることを避けるため、モバイルデバイス製品の脆弱性に関する詳細をあまり公表しない傾向にある。今回も簡潔な発表にとどまり、CVE-2025-43400が実際に攻撃で悪用されているかどうかは明らかにしていない。

　これまで、Appleのモバイルデバイス用OSで発見された脆弱性は、重大な影響を及ぼしてきた。中にはスパイウェア（エンドユーザーの行動に関する情報をひそかに収集して外部に送信するマルウェア）開発者や悪意のある政府によって、特定の標的を狙った諜報活動や監視活動に利用されてきた歴史がある。

　コルテス氏は、記事執筆時点で実際の攻撃は確認されていないものの、攻撃を受ける危険性を最小限に抑えるため、ユーザーと企業は全てのApple製デバイスに、直ちにiOS 26.0.1へのアップデートを適用すべきだと助言する。

　Appleデバイス管理ツールベンダーJamfでEMEIA（欧州、中東、インド、アフリカ）地域のシニアセキュリティ戦略マネジャーを務めるアダム・ボイントン氏も同様の考えを示す。「CVE-2025-43400はサービスを停止させたりOSを不安定にしたりする可能性があるため、できるだけ早くアップデートすべきだ。企業は、管理下にあるデバイスを常に最新の状態に保ち、コンプライアンスを徹底し、アップデートの展開状況を監視する必要がある」