フォローする 
Appleは、実際に悪用されていたCVE-2026-20700ゼロデイを修正してからわずか1か月余りで、CVE-2026-20643に対処するための初のBackground Security Improvementsリリースを公開しました。これは、悪意を持って細工されたWebコンテンツによってブラウザの中核的なセキュリティ境界の一つであるSame Origin Policyが回避される可能性があるWebKitの脆弱性です。
注目を集めるこの問題は、増え続ける脆弱性の脅威をさらに浮き彫りにしています。専門家は、2026年には公開されるCVE件数が初めて50,000件を超え、中央値予測で59,427件、さらに大幅に上回る現実的な可能性もあると予測しています。同時に、NISTは今年すでに13,000件を超える脆弱性を記録しており、防御側が監視すべき規模が拡大し続けていることを示しています。
SOC Prime Platformに登録して、検知エンジニアが作成した80万件以上の検知ルールとクエリを集めたグローバルマーケットプレイスにアクセスしましょう。これらは毎日更新され、AIネイティブな脅威インテリジェンスで強化されており、新たな脅威に先回りして防御できます。
下のExplore Detectionsをクリックするだけで、“CVE”タグで絞り込まれた膨大な検知スタックにすぐアクセスできます。すべての検知は数十種類のSIEM、EDR、Data Lake形式に対応し、MITRE ATT&CK®にもマッピングされています。
セキュリティ専門家は、Uncoder AIを活用して、ライブの脅威レポートから直接ルールを生成し、検知ロジックを洗練・検証し、Attack Flowを可視化し、IOCをカスタムハンティングクエリへ変換し、多様な言語形式間で検知コードを即座に変換することで、検知エンジニアリングをエンドツーエンドで加速できます。
CVE-2026-20643の分析
CVE-2026-20643は、Safariの背後で動作し、iPhone、iPad、Mac全体で幅広いAppleのWebコンテンツ処理に利用されているブラウザエンジンWebKitに影響します。Appleのアドバイザリによると、この脆弱性はNavigation APIにおけるクロスオリジンの問題により、悪意を持って細工されたWebコンテンツがSame Origin Policyを回避できる可能性があります。
特に、Same Origin PolicyはWebの基本的な保護機構の一つです。これは、あるWebサイトが別のWebサイトのデータ、セッション、またはアクティブなコンテンツにアクセスすることを防ぐためのものです。この境界が破られると、悪意のあるWebページが別のサイトのデータにアクセスできる可能性があり、Web活動を分離しプライバシーを守るためにブラウザが依存している基本ルールの一つが損なわれます。
影響範囲はSafariだけにとどまりません。WebKitはSafariに加え、iOSおよびiPadOS上の多くのサードパーティ製ブラウザや、Appleプラットフォーム全体のアプリ内Webビューでも使用されています。実際には、ユーザーが直接Webを閲覧するときだけでなく、アプリが埋め込みWebコンテンツを読み込む際にも、この脆弱なコンポーネントが利用されることを意味します。
AppleはCVE-2026-20643が実際に悪用されたとは述べておらず、そのアドバイザリは観測された攻撃活動よりも技術的な影響に焦点を当てています。それでも、この問題は常に信頼できないWebコンテンツを処理する高露出のコンポーネントに存在しています。エンタープライズ環境では、ブラウザの分離を弱める脆弱性は、セッション悪用、クロスサイトのデータアクセス、さらに悪意ある、または侵害されたWebコンテンツを通じた後続の侵害リスクを高める可能性があります。
Appleの今回のリリースが特に注目される理由は、ベンダーがどのように修正を提供したかにあります。Background Security Improvementsは、完全なソフトウェアアップデートの合間に、より小規模なセキュリティパッチを配信するために設計されています。現在、最新バージョンのiOS、iPadOS、macOSで利用可能です。CVE-2026-20643では、Appleはより広範なリリースを待つのではなく、この新しい仕組みを使ってWebKitの修正を対応デバイスへ直接配信しました。
CVE-2026-20643の緩和策
Appleは、対応するiPhone、iPad、Macデバイス向けの初のBackground Security Improvementsリリースを通じてCVE-2026-20643に対処しました。修正は、iOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1、macOS 26.3.2向けの対応する“(a)”アップデートとして提供され、Appleは改善された入力検証を対策として挙げています。セキュリティ研究者のThomas Espach氏がこの脆弱性の報告者としてクレジットされています。
Appleによると、Background Security ImprovementsはPrivacy & Securityメニューから管理されます。Appleは、通常のソフトウェアリリースの合間にもこれらの修正を受け取れるよう、Automatically Installを有効にしておくことを推奨しています。
特に、Background Security Improvementsが無効になっている場合、デバイスはこれらの保護を後のソフトウェアアップデートに含まれるまで受け取れません。Appleはまた、インストール済みのBackground Security Improvementを削除すると、適用済みのバックグラウンドセキュリティパッチがないベースラインのソフトウェアバージョンに戻ると述べています。そのため、最も安全な方法は、自動インストールを有効のままにし、互換性の問題が生じた場合を除いてアップデートを削除しないことです。
さらに、SOC PrimeのAI-Native Detection Intelligence Platformを活用することで、世界中の組織はトップレベルのサイバー防御の専門知識に支えられた強靭なセキュリティ体制を採用し、ゼロデイ悪用に関連する新たな脅威に常に先んじるSOCへと変革できます。
よくある質問
CVE-2026-20643とは何ですか、またどのように機能しますか?
CVE-2026-20643は、iOS、iPadOS、macOSに影響するWebKitの脆弱性です。AppleはこれをNavigation APIにおけるクロスオリジンの問題と説明しており、悪意を持って細工されたWebコンテンツによってSame Origin Policyが回避される可能性があります。
CVE-2026-20643はいつ公開されましたか?
Appleは2026年3月17日に、この脆弱性を対象とする初のBackground Security Improvementsリリースとあわせて、CVE-2026-20643のセキュリティアドバイザリを公開しました。
CVE-2026-20643はシステムにどのような影響を与えますか?
主な影響は、ブラウザの分離が破られることです。悪用された場合、この脆弱性によって悪意のあるWebコンテンツがSame Origin Policyを回避し、通常はあるサイトが別のサイトのデータやアクティブなコンテンツにアクセスすることを防ぐ保護が破られる可能性があります。
CVE-2026-20643は2026年時点でも影響を受ける可能性がありますか?
はい。該当するBackground Security Improvementsリリースを受け取っていないデバイス、またはそれらの保護が無効化または削除されているデバイスは、影響を受けるバージョンを実行している限り、依然として脆弱な状態にある可能性があります。
CVE-2026-20643からどのように保護できますか?
現在使用しているApple OSバージョンに対応するBackground Security Improvementsリリースをインストールし、Privacy & Securityの下でAutomatically Installが有効になっていることを確認して、今後の修正が遅れなく適用されるようにしてください。
