✅この記事では、Appleが複数OSのセキュリティ文書に追加したCVE詳細から、Siri、FaceTime、通話履歴、旧OS更新で何を確認するべきかを見ていきます。
- 要点まとめ:AppleのCVE追加で見えてきたこと
- CVEは、あとから見えてくることがある
- SiriやFaceTimeは、日常の入口に近い
- 旧OSを使うなら、最新番号まで進んでいるかを見る
- ゼロデイかどうかは、別の確認が必要
- 海外の反応:更新すべきかで迷う空気もある
- ひとこと:文書更新は地味だが、使う側には意味がある
- まとめ:AppleのCVE追加は、旧OS利用者ほど見ておきたい
どうも、となりです。
セキュリティアップデートは、配信された日に中身が全部見えると思いがちです。ところがAppleの文書を追っていると、あとからCVE番号や謝辞、影響範囲が追加されることがあります。
Appleは2026年5月26日、iOS 26、iPadOS 26、macOS Sonoma 14.8、macOS Sequoia 15.7、macOS Tahoe 26、watchOS 26、visionOS 26、tvOS 26などのセキュリティコンテンツページを更新し、複数の脆弱性情報を追加しました。9to5Macも、この後追い更新をまとめています。
見た目としては「文書が更新されただけ」です。でも中身を見ると、Siriのプライベートブラウズタブ、FaceTimeのロック画面表示、通話履歴を使った識別、StorageKitの権限昇格など、普段の使い方に近い場所が含まれています。新機能よりも、いま使っている端末がどこまで守られているかを確かめる話ですね。
要点まとめ:AppleのCVE追加で見えてきたこと
- Appleは2026年5月26日、複数OSのセキュリティ文書に新しいCVE詳細を追加しました。
- iOS 26/iPadOS 26では、Siri経由でプライベートブラウズタブへ認証なしにアクセスできる可能性があった問題が追加されています。
- 9to5Macがまとめている範囲では、macOS Sonoma 14.8やmacOS Sequoia 15.7で、通話履歴、FaceTime、StorageKit、CoreServicesなどの修正詳細が追加されました。
- macOS Sonomaは14.8.7まで更新され、iOS/iPadOS 18系も18.7.9まで更新されています。
- 今回の情報だけでは、追加された各CVEが実際に悪用されていたかまでは確認できません。
CVEは、あとから見えてくることがある
CVEは、脆弱性を識別するための共通IDです。ざっくり言えば、「どの穴の話をしているのか」を世界中で同じ番号で追えるようにする仕組みですね。Appleのセキュリティ文書では、修正済みの問題に対してCVE番号、影響、対処内容、報告者名などが並びます。
Appleは公式文書で、調査が行われ、パッチやリリースが利用可能になるまで、セキュリティ問題を公表・議論・確認しない方針を示しています。これは、先に詳細を出すと、まだ更新していない端末を狙う材料にもなり得るからです。
だから、CVEの後追い追加は「Appleが今になって初めて直した」という意味とは限りません。むしろ、修正自体は配信済みで、その説明や識別番号が後から文書に載ったと見る場面が多いです。ここを取り違えると、昨日急に危険になったように見えてしまいます。
iOS 26.5の50件超のセキュリティ修正でもそうでしたが、セキュリティ更新は「数が多いから怖い」だけの話ではありません。どの層の不具合なのか、旧OSにも修正が来ているのか、悪用確認の有無が示されているのか。そこを見ると、更新の温度が読みやすくなります。
SiriやFaceTimeは、日常の入口に近い
iOS 26/iPadOS 26で追加されたSiriの項目では、プライベートブラウズタブへ認証なしでアクセスできる可能性があったと説明されています。Appleによると、状態管理の改善で対処されています。プライベートブラウズは「見えないはず」という安心感で使う機能なので、ここに名前が出てくると、やっぱり少し身近に感じます。
9to5Macがまとめている範囲では、macOS Sonoma 14.8でもFaceTimeの項目が目を引きます。ロック画面で通知を無効にしていても、FaceTime着信が表示されたり応答できたりする可能性があった、という内容です。これはデータがごっそり抜かれる話とは違います。ただ、会議中のMac、家族と共有する場所に置いたMac、職場のデスクに残したMacでは、ロック中の表示や応答がプライバシーそのものになる場面があります。
通話履歴のCVE-2025-43357も、言葉だけだと分かりにくいところです。ここでいう「fingerprint」は、指紋認証のTouch IDそのものではなく、端末や使う人を識別する手がかりを作れるという意味です。通話履歴は、誰と、いつ、どれくらい連絡したかの輪郭を持ちます。内容を読まなくても、行動のパターンが見えてしまうことがあるんですよね。
StorageKitやCrash Reporterのような項目は、一般向けにはOSの奥側にある名前に見えます。それでも、ルート権限取得の可能性が書かれている場合は軽く見ないほうがいいです。Macでは、普段のアプリ利用、外部ストレージ、クラッシュログ、システム管理の境目が攻撃の入口になることがあります。macOSのターミナル貼り付け警告のように、Appleは最近、ユーザーが操作する直前のところでも守りを厚くしています。
旧OSを使うなら、最新番号まで進んでいるかを見る
今回の話で実用的に大事なのは、iOS 26やmacOS Tahoeだけではありません。macOS Sonomaは14.8.7まで更新されており、9to5Macは14.8.6がスキップされたことも伝えています。iOS 18/iPadOS 18系も、旧メジャーリリースとして18.7.9まで続いています。
ここで混ざりやすいのは、「旧OSにも更新が来る」と「旧OSが最新OSと同じ厚みで守られる」は別の話だという点です。Appleは古いOSにも重要な修正を出すことがあります。ただし、新機能、設計変更、セキュリティ機構の追加まで同じように降ってくるわけではありません。
iOS 18.7とiOS 26の違いでも触れたように、iOS 18系に残る選択には安定重視の意味があります。一方で、セキュリティだけを見るなら、いま残っているOS系列の中で最新の小数点バージョンまで進めることがまず前提になります。
macOS Sonoma 14.8.6がなぜスキップされたのかは、今回確認できる情報だけでは分かりません。そこを技術的な事情として決めつけるより、使う側としては「14.8.7が出ているなら、14.8.5以前で止めない」と考えるほうが現実的です。番号の理由より、今どこまで更新できるかのほうが行動に直結します。
ゼロデイかどうかは、別の確認が必要
セキュリティ記事でいちばん気になるのは、「もう悪用されていたのか」です。今回追加されたCVEの一覧には、Siri、通話履歴、FaceTime、StorageKit、SQLite、CoreServices、Crash Reporter、dyld、AWD、GPU Drivers、PackageKitなど、幅広い名前が並びます。
ただ、今回の更新情報だけを見て、すべてをゼロデイ扱いするのは行きすぎです。Appleの文書では、悪用確認がある場合にその旨が書かれることがありますが、今回の追加分について、手元で確認できる範囲では「すでに悪用されていた」と読める一律の記述は見当たりません。
ここは落ち着いて見たいところです。悪用確認がないから放置していい、という話ではありません。CVEが公開されると、攻撃する側も内容を読みます。だから、怖がりすぎず、止めすぎず、更新できる端末は最新へ進める。セキュリティ更新との付き合い方は、結局そこに戻ってきます。
Appleが進めているBackground Security Improvementsのような裏側の防御も、同じ流れにあります。ユーザーが毎回CVEを読まなくても守られる方向へ進む一方で、古いOSを選ぶ人ほど、自分の端末がどこまで更新済みかを見失わないことが大事になります。
海外の反応:更新すべきかで迷う空気もある
今回のCVE詳細追加そのものへの反応はまだ大きくありません。ただ、直近のAppleセキュリティ更新をめぐっては、更新を急ぐべきか、旧OSに残りたいか、AIによる脆弱性発見が増えているのか、といった受け止めが出ています。
Staying up to date and respecting security advice will be more important than ever before.
最新状態を保ち、セキュリティ上の助言を尊重することが、これまで以上に重要になる。
更新を基本に見る声:セキュリティ文書の公開は透明性でもありますが、未更新端末にとってはヒントにもなります。細かな内容を全部追えない人ほど、更新を先送りしすぎないほうが安全です。
Prepare for an unending stream of posts asking, “Should I update?”
「アップデートすべき?」という投稿が延々と出てくる準備をしておこう。
迷いが増える温度:OS更新は、セキュリティだけなら入れたい。でも新UIや不具合が心配で待ちたい。macOS TahoeやiOS 26では、その迷いが特に見えやすくなっています。
Yet, they limited the release of iOS 18.7.9 and iPadOS 18.7.9 to devices that cannot upgrade to iOS 26.x
それでも、iOS 18.7.9とiPadOS 18.7.9の配信は、iOS 26.xへアップグレードできないデバイスに限られていた。
旧OSの扱いへの不満:新OSへ進める端末でも、あえて旧OSに残りたい人はいます。Appleの更新方針は、セキュリティと最新OS移行のバランスをどう取るかで、今後も見られ続けるはずです。
Au moins, c’est cool, y a toujours les mises à jour de sécurité sur Sonoma et Sequoia !
少なくとも、SonomaとSequoiaにまだセキュリティ更新があるのはいいね。
旧macOSユーザーの安心感:最新のTahoeへ進まなくても、SonomaやSequoiaに修正が届くことは大きいです。ただし、それは「ずっとそのままで大丈夫」という意味ではなく、対応が続いている間に最新番号へ進める話です。
ひとこと:文書更新は地味だが、使う側には意味がある
今回のようなCVE詳細の追加は、派手なニュースではありません。新機能も増えませんし、アップデート通知がもう一度出るわけでもありません。けれど、Apple製品を長く使ううえでは、こういう後追い情報がけっこう大事です。
特に、通話履歴の識別、ロック画面のFaceTime、Siriのプライベートブラウズタブのような項目は、攻撃の専門用語だけで終わりません。どれも「MacやiPhoneを机に置いたままにする」「Safariを個人的な調べものに使う」「古いOSのまま安定運用する」という日常に近いところにあります。
セキュリティ更新は、入れた瞬間に気持ちよくなるタイプのアップデートではありません。でも、何も起きない状態を保つための作業です。通知が出たら後回しにしすぎない、旧OSなら最新番号を確認する。今回の話から持ち帰るなら、まずそこだと思います。
まとめ:AppleのCVE追加は、旧OS利用者ほど見ておきたい
Appleは2026年5月26日、複数のOS向けセキュリティ文書を更新し、iOS 26/iPadOS 26のSiri、macOS Sequoia 15.7やmacOS Tahoe 26の複数項目に加え、9to5Macがまとめている範囲ではmacOS Sonoma 14.8の通話履歴・FaceTime・StorageKitなどにもCVE詳細を追加しました。
この動きは、新しい機能追加ではなく、すでに配信された修正の中身があとから詳しく見えたものです。だからこそ、騒ぎすぎるより、いま使っているiPhone、iPad、MacがどのOS系列で、どこまで更新されているかを見ておくのが大事です。
旧OSを選ぶこと自体が悪いわけではありません。仕事用アプリ、周辺機器、UIの好み、安定性の都合もあります。ただ、旧OSに残るなら、「古いまま使う」のではなく「その系列で最新まで進める」。Appleのセキュリティ文書が後から更新されるたびに、そこだけは忘れずに見ておきたいですね。
ではまた!
FIDO2 U2F セキュリティキー パスキー 二要素認証 (2FA) USBキー PIN+タッチ (非生体認証) USB-C タイプ トラストキー T120
OS更新は端末側の穴を塞ぐ作業ですが、アカウントの入口はまた別です。主要サービスのログイン保護を物理キーまで固めたい人は、FIDO対応のセキュリティキーを複数本で運用する前提で考えると安心です。
AmazonSource:9to5Mac / Apple① / Apple② / Apple③ / Apple④ / Apple⑤ / Reddit① / Reddit② / MacRumors Forums
