トップ/記事一覧/LINEでリンクを開くとiPhoneが固まる不具合 CVE-2026-3861、26.3.0へ更新を
line-ios-cve-cover-ja

LINEでリンクを開くとiPhoneが固まる不具合 CVE-2026-3861、26.3.0へ更新を

iPhone版LINEに、送られてきたリンクを開くとダイアログが延々と表示され、スマホが一時的に操作できなくなる不具合が見つかりました。管理番号はCVE-2026-3861。原因はアプリ内ブラウザの処理不備で、26.3.0より前が対象です。トークやアカウントは盗まれず、最新版に更新すれば防げます。確認方法と対処をまとめました。

ニュース2026年7月13日公開 本日更新
目次
この記事のポイント

iPhone版LINEに、送られてきたリンクを開くとダイアログが延々と表示され、スマホが一時的に操作できなくなる不具合が見つかりました。管理番号はCVE-2026-3861。原因はアプリ内ブラウザの処理不備で、26.3.0より前が対象です。トークやアカウントは盗まれず、最新版に更新すれば防げます。確認方法と対処をまとめました。

iPhoneで使うLINEに、送られてきたリンクをタップしただけでスマホが一時的に操作できなくなる不具合が見つかりました。JPCERT/CCが運営する脆弱性情報データベース「JVN」が2026年7月13日、国内の利用者向けに注意を呼びかけています。管理番号はCVE-2026-3861です。

悪意を持って作られたWebページを、LINEの中で開いた瞬間に確認ダイアログ(「開きますか?」といったポップアップ)が延々と表示され続け、画面がそれで埋まって何も操作できなくなる、というものです。影響を受けるのは26.3.0より前のバージョンで、開発元のLINEヤフーはすでに修正済みの新しいバージョンを配っています。更新さえしていれば、この不具合は起きません。

最初に安心してほしいのは、これでトークの中身が盗まれたり、アカウントを乗っ取られたりすることはないという点です。起きるのは「一時的に画面が固まる」ことだけで、しかもアプリを閉じるか端末を再起動すれば元に戻ります。とはいえ、日本で最も使われているアプリのひとつだけに、知っておいて損はありません。何が起きるのか、自分のスマホは対象なのか、どう直すのかを順番に見ていきます。

何が起きるのか

LINEでは、トークに貼られたリンクをタップすると、Safariではなくアプリの中に組み込まれたブラウザ(アプリ内ブラウザ)でWebページが開きます。ニュース記事やクーポンのページを、LINEから離れずにそのまま読めるあの画面です。

今回の不具合は、このアプリ内ブラウザにありました。Webページの中には、「LINEを開く」「地図アプリを開く」といった具合に、別のアプリを呼び出す命令(URLスキームと呼ばれる仕組み)を埋め込めます。通常はタップした時に1回だけ「開きますか?」という確認が出るのですが、この確認の出しかたに歯止めがかかっていませんでした。

そのため、悪意を持って作られたページは、この確認ダイアログを一瞬で何百回も連続して出すことができてしまいます。次から次へとポップアップが積み重なり、消しても消しても新しいものが出てくるため、iPhone全体が反応しなくなります。米国の脆弱性データベースNVDLINEヤフーの公式アドバイザリは、この状態を「デバイスが一時的に操作不能になる可能性がある」と説明しています。

分類上はサービス運用妨害(DoS)と呼ばれる種類の不具合です。DoSとは、相手のシステムやアプリをわざと動かなくさせて、使えない状態に追い込む攻撃のことです。情報を盗む攻撃ではなく、「邪魔をする」「困らせる」タイプだと考えるとわかりやすいです。

CVE-2026-3861の概要

項目内容
管理番号CVE-2026-3861 / JVNVU#94039788
対象iPhone・iPad版のLINE
(26.3.0より前)
不具合の種類サービス運用妨害(DoS)
アプリ内ブラウザの処理不備
起きること画面がダイアログで埋まり
一時的に操作不能になる
情報流出・乗っ取りなし
深刻度(10点満点)7.1(CVSS 4.0・重要)
6.5(CVSS 3.1・警告)
修正版iOS版LINE 26.3.0以降
開発元LINEヤフー株式会社

深刻度は、脆弱性の危険度を10点満点で表す共通のものさし「CVSS」で7.1(最新のCVSS 4.0基準で「重要」)と評価されています。情報を盗む脆弱性ではないので数字はそこまで高くありませんが、ネットワーク越しに、特別な権限もなく、相手にリンクをタップさせるだけで成立する手軽さが点数に効いています。

誰が、何のために狙うのか

この不具合を実際に使うとしたら、それは特定の相手を困らせたい人です。トークでもめている相手、しつこい嫌がらせをしてくる相手、あるいは迷惑メッセージを不特定多数にばらまく送り主などが想定されます。お金や情報を盗む目的の攻撃者にとっては、何も手に入らないため旨みがなく、むしろ「いたずら」や「嫌がらせ」に近い動機で使われるものです。

やることはシンプルで、細工したリンクをLINEのトークに送りつけ、相手がそれをタップした瞬間に画面をダイアログで埋め尽くすだけです。受け取った側から見れば、いつも通り届いたリンクを開いただけなのに、突然iPhoneがポップアップだらけになって言うことを聞かなくなる、という体験になります。悪意あるページを開くだけで被害が始まる点は、ページを見ただけで感染するiPhone向けスパイウェアや、悪意あるサイトを開くだけで乗っ取られる開発ツールの脆弱性と共通しています。

ただし被害の中身は、そうした乗っ取り系とは大きく違います。エンドユーザーが失うのは「その場の数十秒〜数分間、スマホが使えない時間」だけです。トークの履歴や連絡先、アカウントが盗まれることはありません。企業や組織にとっても、これは社員個人の端末で起きる一時的な不便にとどまり、システムが壊れるような話ではありません。慌てて大騒ぎするようなものではない一方で、直す手間はほとんどかからないので、対象なら早めに済ませておくのが得策です。

自分のiPhoneは対象なのか

対象かどうかは、LINEのバージョンが26.3.0以上かどうかだけで決まります。以下の早見表で確認してください。

LINEのバージョン影響やること
26.3.0より前影響あり
(操作不能になる恐れ)
今すぐ最新版へ更新
26.3.0以降修正済み
(影響なし)
対応不要
Android版今回の対象外通常どおり

自分のバージョンは、LINEアプリのホームタブ右上の設定(歯車のアイコン)を開き、下のほうにある「LINEについて」をタップすると確認できます。そこに表示される数字が26.3.0以上なら、すでに直っています。

この修正版が配られ始めたのは2026年の春ごろで、すでに数か月が経っています。iPhoneの設定でアプリの自動更新をオンにしている人は、意識しないうちに更新が済んでいる可能性が高いです。今回JVNが改めて注意喚起を出したのは、自動更新を切っている人や、長く更新していない古いバージョンのまま使い続けている人に向けた念押しという位置づけになります。

どう直すのか

対処はアプリを最新版に更新するだけです。iPhoneの「App Store」を開き、右上のアカウントアイコンをタップして、アップデート一覧にLINEがあれば「アップデート」を押します。見当たらなければ、検索でLINEを開いて「開く」ではなく「アップデート」ボタンが出ていないか確認してください。更新後にバージョンが26.3.0以上になっていれば完了です。

再発を防ぐには、アプリの自動更新をオンにしておくのがいちばん確実です。iPhoneの「設定」→「App Store」→「Appのアップデート」をオンにしておけば、今後こうした修正が出たときに自分で操作しなくても適用されます。セキュリティの修正はこうしたアプリ更新に紛れて配られることが多いので、日ごろから最新に保っておく習慣が、こうした細かい不具合をまとめて防いでくれます。

もし更新前に運悪くこの状態に陥っても、慌てる必要はありません。ダイアログでLINEが固まったら、アプリを一度終了する(ホームバーを下から上にスワイプしてLINEを上に払う)か、それでも直らなければiPhoneを再起動すれば元に戻ります。この操作でトークやデータが消えることはありません。

技術的に見ると

今回の原因は、脆弱性の分類でいうとCWE-400(リソース消費の制御不備)に当たります。アプリ内ブラウザが、Webページから呼ばれるURLスキームの確認ダイアログを表示する際に、回数や頻度の上限を設けていなかったことが根本にありました。攻撃者はこれを利用して、短時間に大量のダイアログ表示要求を発生させ、UIスレッドを飽和させて端末を応答不能に追い込みます。

CVSS 4.0のベクトルは AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:H で、機密性(VC)と完全性(VI)への影響はなく、可用性(VA)だけがHighと評価されています。つまり「盗まれる・書き換えられる」ではなく「使えなくなる」に振り切った脆弱性だということが、この数値からも読み取れます。攻撃の成立には利用者がリンクをタップする操作(UI:P)が必要で、勝手に発火するものではありません。

この問題はバグ報奨金プラットフォーム「HackerOne」経由でLINEヤフーに報告され、開発元がJPCERT/CCと調整のうえで公表・修正に至りました。LINEヤフーは自社製品の脆弱性をセキュリティアドバイザリブログで継続的に公開しており、今回もそこで詳細が示されています。アプリ内ブラウザは、他のアプリを呼び出せる自由度と引き換えに、こうした「呼び出しの乱用」を防ぐ作り込みが欠かせない部分で、スマホアプリ全般に通じる注意点でもあります。

これまでの経緯

← スワイプで移動

よくある疑問

Q. この不具合でLINEのトークやアカウントは盗まれますか?

A. いいえ。盗まれることも、乗っ取られることもありません。起きるのは画面が一時的に固まることだけで、トーク履歴や連絡先、写真などのデータには影響しません。

Q. 画面がポップアップだらけで動かなくなったら?

A. LINEアプリを一度終了するか、iPhoneを再起動すれば元に戻ります。この操作でデータが消えることはありません。落ち着いて対応すれば大丈夫です。

Q. Android版のLINEは大丈夫ですか?

A. 今回の注意喚起はiPhone・iPad版(iOS版)だけが対象です。Android版はこの不具合の対象に含まれていません。スマホのアプリ管理まわりが気になる方は、Androidの野良アプリ規制の動きもあわせてどうぞ。

Q. パソコンやiPad、Ubuntuで使うLINEは?

A. 今回の対象はiOS版アプリです。なお、LinuxでLINEを動かす方法など環境まわりの話は別記事で扱っています。

まとめ

iPhone版LINEのCVE-2026-3861は、細工されたリンクをアプリ内ブラウザで開くと画面がダイアログで埋まり、端末が一時的に操作できなくなる不具合です。情報流出やアカウント乗っ取りは起きず、被害は「その場でスマホが使えなくなる」ことにとどまります。修正版の26.3.0はすでに配られており、更新すれば防げます。

やることは、LINEのバージョンを確認して26.3.0より前なら更新する、これだけです。自動更新をオンにしている人はおそらくもう直っています。日本でこれだけ多くの人が毎日使うアプリだからこそ、こうした小さな不具合も「知っていれば慌てない」もの。ほかの脆弱性の動きは日々のセキュリティ脆弱性まとめでも追っています。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go