iOS 26.3.1 および macOS Tahoe 26.3.1 向けにリリースされた最初のバックグラウンド セキュリティ改善

まとめ

• Apple は、Rapid Security Response (RSR) を、新しい完全にサイレント インストール メカニズムの Background Security Improvements (BSI) に置き換えます。
• 最初のパッチは、iOS 26.3.1、iPadOS 26.3.1、macOS Tahoe 26.3.1、および macOS Tahoe 26.3.2 (新しい MacBook Neo 用) を実行しているデバイスですでに利用可能です。
• このアップデートでは、悪意のある Web サイトが基本的な同一生成元ポリシーをバイパスできるようにする WebKit エンジンの重大なセキュリティ脆弱性が修正されます。
• これらの修正を適用するためにデバイスを再起動する必要がなくなり、ユーザーのダウンタイムが削減されます。
• 新機能の制御と管理は、システム設定の「プライバシーとセキュリティ」メニューに移動されました。

Background Security Improvement (BSI) は、Rapid Security Response (RSR) を正式に置き換える Apple の新しい高度なパッチ適用メカニズムです。重要なセキュリティ パッチをバックグラウンドで完全にサイレントにインストールするように設計されたこのシステムは、新しい iOS 26.3、iPadOS 26.3、macOS Tahoe 26.3 でネイティブにサポートされるようになり、OS を完全にアップグレードせずに WebKit やその他のシステム ライブラリにパッチを適用できるようになりました。

RSR システムから BSI への移行は、運用を中断することなく継続的に保護するという業界のニーズを反映しています。これまでの RSR アップデートは、サイズは小さいものの、多くの場合、ユーザーは iPhone または Mac を再起動する必要がありました。この事実により、ユーザーによるインストールが大幅に遅れ、デバイスは重要な 24 時間にわたってゼロデイ攻撃に対して脆弱な状態になりました。新しいシステムでは、コード修正は実行時に動的に適用されます (ホットパッチ)。このアップデートを受け取る互換性のあるバージョンは、iOS 26.3.1 (a)、iPadOS 26.3.1 (a)、macOS Tahoe 26.3.1 (a)、および新しい MacBook Neo の所有者専用バージョン macOS Tahoe 26.3.2 (a) です。

WebKit エンジンのセキュリティ ギャップ

BSI の最初のバージョンはメカニズムの単純なテストではなく、WebKit の実際の非常に重大な脆弱性に対処しています。この脆弱性により、悪意を持って作成された Web コンテンツが Same Origin Policy (SOP) をバイパスすることが可能になりました。 Apple は入力検証チェックを強化することで問題の修正を進め、それによって不正なデータ呼び出しを防止しました。

App Store の厳格なポリシーにより、WebKit は Safari だけでなく、Apple エコシステムで Web コンテンツ (アプリ内ブラウザ) を提供するすべてのアプリケーションのバックボーンでもあります。これは、WebKit のセキュリティ ホールが、エンド ユーザーが使用しているブラウザに関係なく、デバイス上のブラウジング エクスペリエンス全体に実質的に影響を与えることを意味します。

同一生成元ポリシー (SOP) の重要性

このパッチが対処するリスクの規模を理解するには、それが正確に何なのかを調べる必要があります。 同一生成元ポリシー。これは、現代の Web の基本的なセキュリティ メカニズムの 1 つです。特定のソース (銀行の Web サイトなど) からロードされたスクリプトは、別のソース (隣接するタブで開いた悪意のあるサイトなど) とやり取りしたり、そこからデータを取得したりすることはできないと明示的に述べています。

特定された脆弱性により、攻撃者はこの分離を回避することができました。ユーザーが感染した Web サイトにアクセスすると、理論的には、その Web サイトのコードが開いている他のページからデータ (セッション Cookie や認証トークンなど) を読み取ることができ、ユーザーの介入なしにデータが盗聴される可能性があります。

Apple エコシステムにおける管理と制御

自動化された性質にもかかわらず、 バックグラウンドセキュリティの改善Apple は完全な透明性のポリシーを採用することで、エンドユーザーの手にコントロールを与え続けます。これらのマイクロ アップデートの管理は従来のソフトウェア アップデート メニューから移動され、厳密にプライバシー設定内に配置されています。

• iPhone および iPad (iOS / iPadOS 26.3.1) の場合: 関連するオプションは、[設定]>[プライバシーとセキュリティ]のパスをたどることで見つかります。
• Mac コンピューター (macOS Tahoe 26.3.1 以降): ユーザーは、[システム設定]>[プライバシーとセキュリティ]を開く必要があります。

ユーザーがアップデートの自動ダウンロードとインストールを有効にしている場合は、何もする必要はありません。システムはパッチを認識し、サイレントにダウンロードし (通常、サイズは数メガバイトを超えません)、動的に適用します。このセキュリティ強化を手動でアンインストールすることにした場合、デバイスは自動的にソフトウェアの基本バージョン (iOS 26.3 など) に戻りますが、WebKit の抜け穴に対して再び脆弱になります。 Apple は、ユーザーが BSI を完全に無効にしても、問題のセキュリティ修正はオペレーティング システムの計画されたメジャー リリース (次期 iOS 26.4 など) に組み込まれることを明らかにしています。

テックギア提供

セキュリティパッチの配布方法を根本的に再設計するという Apple の決定により、現代の IT における最大の現実的問題の 1 つである更新疲れが解決されました。これまでの RSR は、デバイスの再起動が必要なため、ユーザーが「後で通知」を押す必要があり、その目的が果たされないことがよくありました。新しいバックグラウンド セキュリティ向上システムは、現代のデジタルのペースに合わせた理想的な技術実装です。

iPhone と MacBook が日常のビジネス ツールとして不可欠なギリシャ市場にとって、デバイスがユーザーのポケットの中にあるとき、または机の上に閉じたままの状態で、重要な WebKit レベルの修正を受信できる (銀行取引の傍受などのリスクを防ぐ) 機能は非常に重要です。セキュリティ ホールの発見から最終消費者へのソリューションのインストールに成功するまでの「脆弱性の窓」は、劇的に狭まったところです。これは、Apple のエコシステムをブラウザレベルの攻撃から最も防御するものとして強固にする、実質的な内部的な機械的アップグレードです。