Appleのセキュリティ対応のリリース
ASCII.jp:アップル「iOS 26.3.1(a)」配信 全ユーザーに推奨のセキュリティーアップデート
2026-03-17(火) に iOS 26.3.1(a) がリリースされました。これは、WebKitの脆弱性(CVE-2026-20643)が修正されている内容のようです。
さて、ここで疑問に感じるのが (a) というバージョン表記です。通常、iOSのバージョンは iOS 26.3.1 のように表記されますが、今回は (a) が付いています。
Background Security Improvements と Cryptexes
Appleのドキュメントによると、26.1 以降のバージョンでは、「Background Security Improvements」(旧称: Rapid Security Response)という仕組みが導入されています。
- 26.1以降の内容:Background Security Improvements in Apple operating systems - Apple Support (AM)
- 26.1以前の内容:Rapid Security Responses in Apple operating systems - Apple Support (HK)
この仕組みは、Safari(WebKit)やシステムライブラリといった、攻撃の標的になりやすく迅速な修正が求められるコンポーネントに対し、
OS全体のアップデートを待たずに軽量なパッチを配信するためのものです。
(a) という表記は、この「バックグラウンドでの改善」が適用されたことを示す、独自の識別子です。
なぜ、Semantic Versioningではなく、独自の識別子を使用するのか?
開発者向けの PackageDescription で定義されているルールとは異なり、この(a) 表記には「OSの基盤を書き換えない」という強い意図があります。
- OSの再シールが不要: 通常のアップデート(例:26.3.1 → 26.3.2)ではシステムボリューム全体の整合性を再検証(Reseal)する必要がありますが、
(a)はそのプロセスをバイパスして即座に適用できます。 - ロールバックが可能: もしパッチによって不具合(回帰バグ)が発生した場合、ユーザーは設定からこの「改善」だけを削除し、ベースとなるバージョン(26.3.1)に安全に戻すことができます。
実際、Versioningのルールについては、Background Security Improvements on Apple devices - Apple Support (HK)に記載があり次のように書かれています。
Each Background Security Improvement is versioned relative to its base operating system version, starting with “a”, then “b” and so on.
仕組みを支える技術「Cryptexes」
この迅速かつ柔軟なパッチ適用を支えているのが、Cryptexes(クリップテックス) という技術です。
- Cryptexes とは、OS本体のボリュームとは別に存在する、暗号化・署名された独立したディスクイメージです。
今回の (a) アップデートでは、OSのカーネルを書き換えるのではなく、
WebKitなどの特定の実行バイナリをこの Cryptexes 領域に配置し、起動時に「上書き」して参照させることで、最新のセキュリティ状態を維持しています。
まとめ
iOS 26.3.1(a) のような表記は、従来のセマンティックバージョニングの枠組みを超えた、
「セキュリティの即時性」と「システムの安定性(切り戻し)」を両立させるための新しい運用ルールによるものです。
補足
CVE-2026-20643 は ページ遷移を制御するNavigation APIにSame Origin Policyを突破される脆弱性で、危険なサイトを開くだけで、別のサイトの情報を盗まれる可能性があるものです。
Semantic Versioningとは x.y.zのようなもので互換性をもとにVersiongする手法です。