CVE-2026-20700 Apple dyldゼロデイの全貌 ── 商用スパイウェアが悪用したメモリ破壊脆弱性とiOS防御の限界

2026年2月11日、Appleは全プラットフォームを対象とする緊急セキュリティアップデートをリリースした。修正された脆弱性CVE-2026-20700は、iOS・macOSの根幹をなすダイナミックリンカ「dyld」に存在するメモリ破壊の欠陥である。Appleは「特定の個人を標的とした極めて高度な攻撃」での悪用を認め、Google Threat Analysis Group（TAG）がこれを発見・報告した。商用スパイウェアベンダーによる多段階エクスプロイトチェーンの一部として使われたと見られるこの脆弱性の技術的全貌と、iOS防御モデルへの示唆を分析する。

dyldとは何か──Appleセキュリティモデルの基盤コンポーネント

dyld（Dynamic Link Editor）は、Apple全OSにおいてアプリケーション起動時に動的ライブラリを読み込み、シンボルを解決し、ランタイムリンクを実行する基盤コンポーネントである。UIKit、Foundation、CoreGraphicsなどのシステムフレームワークはすべてdyldを通じてプロセスにマッピングされる。つまり、すべてのアプリケーションはdyldを経由して動作しており、この層が侵害されれば攻撃者はプロセス全体を掌握できる。

パフォーマンス最適化のため、iOS・macOSではdyld_shared_cacheと呼ばれる単一のモノリシックファイルにほぼ全てのシステムライブラリが格納されている。このキャッシュはブート時にランダムなアドレスにマッピングされ（ASLR）、全プロセスが同じ仮想アドレスで共有する。セキュリティ上の含意は重大で、攻撃者が一つのプロセスでキャッシュのベースアドレスを特定できれば、デバイス上の全プロセスにおけるライブラリ配置が判明する。

dyldはアプリケーションコードよりも先に実行され、サンドボックス制限が完全に適用される前に動作する。この特権的な実行コンテキストが、dyldを攻撃者にとって極めて高価値な標的にしている。

CVE-2026-20700の技術的詳細──CWE-119メモリ破壊の実態

CVE-2026-20700はCVSS v3.1で7.8（HIGH）と評価され、CWE-119（メモリバッファ操作の不適切な制限）に分類されている。Appleの公式説明によれば「メモリ書き込み能力を持つ攻撃者が任意コード実行を達成できる」脆弱性であり、修正は「状態管理の改善」によって行われた。

攻撃の前提条件として、攻撃者はまず別の脆弱性を通じてメモリ書き込み能力を獲得する必要がある。その上でdyldのライブラリ読み込みプロセス中の内部状態を破壊し、制御フローを乗っ取ることで任意コード実行に至る。Appleは具体的なメモリ破壊の種別（ヒープオーバーフロー、use-after-free等）を明示していないが、CWE-119の分類はバッファ境界違反を示唆している。

影響を受けるプラットフォームはiOS 26.3未満、macOS Tahoe 26.3未満、tvOS 26.3未満、watchOS 26.3未満、visionOS 26.3未満の全バージョンに及ぶ。レガシーデバイス向けにはiOS 18.7.5、macOS Sequoia 15.7.4、macOS Sonoma 14.8.4もリリースされた。CISAは翌12日にKEVカタログに追加し、連邦機関に3月5日までの修正を義務付けている。

三段階エクスプロイトチェーン──WebKitからdyldへの攻撃経路

CVE-2026-20700は単独で悪用されたのではない。Appleのセキュリティアドバイザリは、2025年12月にパッチされた2件のWebKitゼロデイ──CVE-2025-14174（ANGLE経由の境界外メモリアクセス、CVSS 8.8）とCVE-2025-43529（use-after-free）──が同じ報告に関連すると明記している。

推定される攻撃フローは以下の通りである。第一段階で、標的がiMessageまたはWebブラウザ経由で悪意あるコンテンツにアクセスすると、WebKitの脆弱性が発動しサンドボックス内でのコード実行が達成される。第二段階で、追加の脆弱性を使ってサンドボックスを脱出し、メモリ書き込み能力を獲得する。第三段階で、CVE-2026-20700によりdyldの内部状態を破壊し、サンドボックス外での任意コード実行──すなわちスパイウェアペイロードのインストール──が完了する。

この攻撃を成功させるには、ASLR、DEP（データ実行防止）、コード署名検証、A12チップ以降のPAC（Pointer Authentication Codes）、PPL（Page Protection Layer）など複数の防御層を同時に突破する必要がある。これが可能な攻撃者は、国家支援型APTまたはNSO Group・Intellexa・Paragon Solutionsのような商用スパイウェアベンダーに限定される。

商用スパイウェア業界の2026年現況──NSO・Intellexa・Paragon

CVE-2026-20700の背後にいる攻撃者は公式には特定されていないが、Google TAGの関与と「極めて高度な攻撃」という表現は、商用スパイウェアの関連を強く示唆する。2026年の業界は激動の中にある。

NSO Group（Pegasus）は2025年に米国投資家に買収され、トランプ政権の元高官David Friedman氏が会長に就任した。米国エンティティリスト（制裁リスト）には依然として掲載されているが、解除に向けたロビー活動を展開中である。2026年1月に公表した透明性レポートは、専門家から「人権遵守の具体的証拠が欠如している」と批判された。

Intellexa（Predator）は米国財務省の制裁下にあるが、2025年12月にトランプ政権が幹部3名への制裁を解除した。Amnesty Internationalの調査により、Intellexa社員がTeamViewer経由で政府顧客の監視システムに直接リモートアクセスし、被害者データを閲覧できる状態にあったことが判明している。

Paragon Solutions（Graphite）は2025年2月、CVE-2025-43200（iMessageゼロクリック脆弱性）を利用して欧州のジャーナリストを標的にした。NSO Group、Intellexaに続き、ゼロクリックiPhone攻撃能力を持つ第三のベンダーとして確認されている。

日本への影響──iOS市場シェア68%の意味

日本はApple製品の世界最大の市場の一つであり、スマートフォンにおけるiOS市場シェアは約68〜70%と世界最高水準である。この数字は、CVE-2026-20700のパッチ適用が他国以上に緊急性を持つことを意味する。

標的型攻撃の観点では、日本のジャーナリスト、政治家、外交官、企業経営者がiPhoneを使用している場合、商用スパイウェアによる監視のリスクに直面している。とりわけ国際的な取材活動や外交交渉に携わる人物は、国家支援型の標的になり得る。

企業のセキュリティチームに求められる対応は明確である。第一に、MDM（モバイルデバイス管理）を通じたiOS 26.3への即時アップデート強制。第二に、高リスクユーザーへのロックダウンモード有効化の推奨──ロックダウンモードがCVE-2026-20700そのものを防いだかは未確認だが、初期アクセスに使われたWebKit脆弱性の悪用を制限する可能性がある。第三に、iVerifyやMVT（Mobile Verification Toolkit）などの端末フォレンジックツールの導入検討である。

Appleゼロデイの歴史的推移──2023年20件から2026年の教訓

Appleプラットフォームを標的としたゼロデイ攻撃は年々進化している。2023年は過去最多の20件が記録され、NSO GroupのPegasusを配布するBLASTPASSエクスプロイトチェーンが含まれていた。2024年は6件に減少したが、2025年は7〜9件に再増加し、「Glass Cage」と呼ばれるiMessage経由のゼロクリック攻撃チェーンがロックダウンモードすら突破した事例も確認されている。

CVE-2026-20700は2026年最初のゼロデイであるが、過去のパターンからは年間を通じて追加のゼロデイが発見される可能性が高い。Google TAGの2024年統計によれば、グローバルで75件のゼロデイが悪用され、うち29%が国家支援型スパイ活動、23.5%が商用スパイウェアベンダーに帰属している。

根本的な問題は、dyldのような数十年の進化を経た基盤コンポーネントが、今なお未知の脆弱性を内包している事実である。「すべてのアップデートを適用した最新デバイスでも、十分な資源を持つ攻撃者には侵害され得る」──これがゼロデイ時代の現実であり、組織は侵害を前提とした防御（ゼロトラスト）とフォレンジック検知能力の両立を求められている。

FAQ

CVE-2026-20700とはどのような脆弱性か？

Appleのダイナミックリンカdyldに存在するメモリ破壊脆弱性（CVSS 7.8）である。メモリ書き込み能力を持つ攻撃者が任意コード実行を達成でき、商用スパイウェアによる標的型攻撃で悪用された。

どのAppleデバイスが影響を受けるか？

iOS 26.3未満、macOS Tahoe 26.3未満、tvOS、watchOS、visionOSの全バージョンが影響を受ける。レガシーデバイス向けにもiOS 18.7.5やmacOS Sequoia 15.7.4が提供されている。

ロックダウンモードはこの攻撃を防げるか？

dyld脆弱性自体の防御は未確認だが、初期アクセスに使われたWebKit脆弱性の悪用をロックダウンモードが制限する可能性がある。高リスクユーザーには有効化が推奨される。

日本ユーザーへの影響は？

日本のiOS市場シェアは約68〜70%と世界最高水準であり、影響を受けるデバイス数が多い。ジャーナリスト・政治家・企業経営者など高リスクユーザーは即時アップデートが必須である。

「極めて高度な攻撃」とは何を意味するか？

Appleがこの表現を使う場合、国家支援型のAPTまたはNSO Group・Intellexa等の商用スパイウェアベンダーによる攻撃を指す。多段階エクスプロイトチェーンと複数の防御層突破を伴う。

参考文献

• About the security content of macOS Tahoe 26.3 — Apple, 2026年2月11日
• Apple Patches iOS Zero-Day Exploited in Extremely Sophisticated Attack — SecurityWeek, 2026年2月12日
• Apple Fixes Exploited Zero-Day Affecting iOS, macOS, and Other Devices — The Hacker News, 2026年2月
• CISA Adds Four Known Exploited Vulnerabilities to Catalog — CISA, 2026年2月12日
• Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis — Google Threat Intelligence, 2025年
• Apple fixes zero-day flaw used in extremely sophisticated attacks — BleepingComputer, 2026年2月
• Critics pan spyware maker NSO's transparency claims — TechCrunch, 2026年1月