AppleのiOSデバイスを標的とする新たなエクスプロイトキット「DarkSword」が発見され、複数の脅威アクターによって悪用されていることが明らかになりました。この高度な攻撃ツールは、6つの異なる脆弱性(うち3つはゼロデイ)を組み合わせることで、iPhoneの完全な乗っ取りと、ユーザーの機密データ窃取を可能にします。特にiOS 18.4から18.7を搭載したデバイスが主な標的とされており、その影響は広範囲に及ぶと懸念されています。本記事では、DarkSwordの脅威の全貌、その巧妙な攻撃手口、そしてiPhoneユーザーが今すぐ取るべき対策について深掘りします。
DarkSwordとは?iPhoneを狙う新たな脅威の全貌
Google Threat Intelligence Group (GTIG)、iVerify、Lookoutといった主要なセキュリティ企業からの報告によると、DarkSwordは少なくとも2025年11月以降、複数の脅威アクターによって活発に利用されています。これらのアクターには、商業監視ベンダーや国家支援型と疑われるグループが含まれており、サウジアラビア、トルコ、マレーシア、ウクライナといった国々を標的としたキャンペーンで展開されてきました。
DarkSwordの発見は、わずか1ヶ月前に発覚した別のiOSエクスプロイトキット「Coruna」に続くものであり、iOSデバイスを狙う高度な攻撃が継続的に開発・流通している現状を浮き彫りにしています。このキットは、特にiOS 18.4から18.7のバージョンを実行しているiPhoneを標的としており、ウクライナのユーザーを狙った攻撃では、ロシアの諜報機関と関連が疑われるグループ「UNC6353」が使用していると報じられています。
Lookoutの分析によれば、DarkSwordは「ヒットアンドラン」のアプローチを採用しており、標的のデバイスから個人情報を収集し、数秒から数分以内に外部サーバーへデータを流出させた後、痕跡を消去するという特徴があります。これにより、攻撃の検出を困難にし、迅速なデータ窃取を可能にしています。窃取の対象には、デバイスの認証情報だけでなく、多数の暗号通貨ウォレットアプリのデータも含まれており、金銭的な動機を持つ脅威アクターの関与も示唆されています。
悪用される6つの脆弱性と3つのゼロデイ攻撃
DarkSwordの攻撃チェーンは、合計6つの異なる脆弱性を悪用して3つのペイロードを展開します。その中でも特に注目すべきは、Appleがパッチを適用する前に悪用された3つのゼロデイ脆弱性です。
- CVE-2026-20700: dyldにおけるユーザーモードのポインタ認証コード (PAC) バイパスの脆弱性(バージョン26.3でパッチ適用)
- CVE-2025-43529: JavaScriptCoreにおけるメモリ破損の脆弱性(バージョン18.7.3および26.2でパッチ適用)
- CVE-2025-14174: ANGLEにおけるメモリ破損の脆弱性(バージョン18.7.3および26.2でパッチ適用)
これら3つのゼロデイに加え、以下の既存の脆弱性も悪用されています。
- CVE-2025-31277: JavaScriptCoreにおけるメモリ破損の脆弱性(バージョン18.6でパッチ適用)
- CVE-2025-43510: iOSカーネルにおけるメモリ管理の脆弱性(バージョン18.7.2および26.1でパッチ適用)
- CVE-2025-43520: iOSカーネルにおけるメモリ破損の脆弱性(バージョン18.7.2および26.1でパッチ適用)
これらの脆弱性が巧妙に組み合わされることで、攻撃者はSafariのサンドボックスを突破し、最終的にカーネルレベルの権限を獲得してデバイスを完全に制御することが可能になります。特に、JavaScriptCoreのJIT脆弱性(CVE-2025-31277またはCVE-2025-43529)を利用してリモートコード実行を達成し、その後、GPUプロセスを介してサンドボックスをエスケープするという多段階のプロセスが確認されています。
巧妙な攻撃手口:ウェブサイト訪問からデバイス完全掌握まで
DarkSwordによる攻撃は、ユーザーがSafariブラウザで悪意のあるウェブページを訪問することから始まります。このウェブページには、デバイスをフィンガープリントし、標的がiOSエクスプロイトチェーンに誘導されるべきかを判断するJavaScriptを読み込むiFrame要素が埋め込まれています。この手法は「ウォーターホール攻撃」として知られ、特定のターゲット層がアクセスする可能性のある正規のウェブサイトを侵害し、マルウェアを仕込むことで、広範囲のユーザーを感染させようとします。
攻撃が開始されると、DarkSwordはSafariのWebコンテンツサンドボックス(Safariのレンダラープロセス)の制約を突破します。次に、WebGPUを利用して、Appleがメディア再生機能を処理するために導入したシステムデーモンである「mediaplaybackd」にコードを注入します。この段階で、GHOSTBLADEと呼ばれるデータマイナーマルウェアが特権プロセスとファイルシステムの制限された部分へのアクセス権を獲得します。
特権昇格が成功した後、オーケストレーターモジュールが追加のコンポーネントをロードし、機密データの収集を開始します。収集されたデータは、Springboard(iOSのホーム画面を管理するプロセス)に注入されたデータ流出ペイロードによって、HTTP(S)を介して外部サーバーに送信されます。この多段階かつ複雑なプロセスは、DarkSwordが高度に設計されたマルウェアプラットフォームであることを示しており、その開発には多大な労力が費やされていることが伺えます。
窃取される個人情報の恐るべき範囲
DarkSwordがデバイスを完全に掌握した場合、攻撃者はユーザーの想像をはるかに超える広範な個人情報にアクセスし、窃取することが可能になります。その対象となるデータは以下の通りです。
- メール
- iCloud Driveファイル
- 連絡先
- SMSメッセージ
- Safariの閲覧履歴とクッキー
- 暗号通貨ウォレットおよび取引所のデータ
- ユーザー名とパスワード
- 写真
- 通話履歴
- Wi-Fi設定とパスワード
- 位置情報履歴
- カレンダー
- 携帯電話およびSIM情報
- インストールされているアプリのリスト
- Apple純正アプリ(メモ、ヘルスケアなど)のデータ
- TelegramやWhatsAppなどのメッセージアプリの履歴
これらの情報が一度流出すれば、金銭的被害はもちろんのこと、個人情報の悪用、なりすまし、さらには標的型攻撃の足がかりとなるなど、計り知れない損害を被る可能性があります。
背後に潜む脅威アクターとその動機
DarkSwordの利用には、複数の脅威アクターが関与していることが確認されています。
- UNC6353: ロシアの諜報機関と関連があるとされるグループで、ウクライナのウェブサイトを標的としたウォーターホール攻撃でDarkSwordとCorunaの両方を使用しています。DarkSwordのコードには難読化がほとんどなく、OPSEC(運用セキュリティ)対策が不十分である可能性が指摘されており、技術的には洗練されていないが、高価なエクスプロイトチェーンを入手できる資金力を持つ「ロシア支援の私掠船グループまたは犯罪代理アクター」である可能性が示唆されています。
- UNC6748: 2025年11月にサウジアラビアのユーザーを標的とし、Snapchatを模したウェブサイト「snapshare[.]chat」を利用してDarkSwordを悪用し、情報窃取が可能なJavaScriptバックドア「GHOSTKNIFE」を配信しました。
- PARS Defense: トルコの商業監視ベンダーで、同じく2025年11月にDarkSwordを使用して、デバイスおよびアカウントの列挙、ファイルリスト、データ流出、任意のJavaScriptコード実行が可能なJavaScriptバックドア「GHOSTSABER」を配信しました。
これらの事例は、iOSのゼロデイおよびn-dayエクスプロイトの市場が活況を呈しており、サイバースパイ活動だけでなく、金銭的動機を持つアクターにも強力な攻撃能力が広く流通している現状を示しています。エクスプロイトの地理的および動機的な拡散は、モバイルデバイスのセキュリティに対する継続的なリスクを浮き彫りにしています。
iPhoneユーザーが今すぐ取るべき対策とセキュリティの未来
DarkSwordのような高度なiOSエクスプロイトキットの登場は、iPhoneユーザーにとって深刻な警鐘です。これらの攻撃は個別標的型ではない場合も多く、広範囲の未パッチデバイスが影響を受ける可能性があります。iPhoneを安全に使い続けるためには、以下の対策を徹底することが不可欠です。
- iOSの最新バージョンへのアップデート: Appleは脆弱性が発見され次第、迅速にパッチを適用したアップデートをリリースします。DarkSwordで悪用された脆弱性もすでにパッチが適用されています(iOS 18.6、18.7.2、18.7.3、26.1、26.2、26.3など)。常に最新のiOSバージョンにアップデートし、セキュリティホールを塞ぐことが最も基本的な、そして最も重要な対策です。
- 不審なリンクやウェブサイトへのアクセス回避: ウォーターホール攻撃は、ユーザーが悪意のあるウェブサイトを訪問することで成立します。見慣れない送信元からのリンクや、不審なウェブサイトへのアクセスは避けるようにしましょう。
- 二段階認証の徹底: アカウントの乗っ取りを防ぐため、Apple IDやその他の重要なオンラインサービスでは必ず二段階認証(多要素認証)を設定してください。
- 強力なパスワードの使用: 推測されにくい複雑なパスワードを設定し、使い回しは避けるべきです。
- セキュリティ意識の向上: 常に最新のサイバーセキュリティ脅威に関する情報を収集し、自身のデバイスやデータの保護に対する意識を高めることが重要です。
モバイルデバイスは私たちの生活に深く根ざしており、そのセキュリティはもはやPC以上に重要です。Appleは継続的にセキュリティを強化していますが、攻撃者もまた進化を続けています。ゼロデイエクスプロイト市場の存在は、この「攻防」が今後も激化することを示唆しています。
まとめ:進化するサイバー攻撃からiPhoneを守るために
新たなiOSエクスプロイトキット「DarkSword」の発見は、iPhoneユーザーが直面するサイバーセキュリティリスクの深刻さを改めて浮き彫りにしました。6つの脆弱性、特に3つのゼロデイを悪用し、巧妙なウォーターホール攻撃を通じてデバイスを完全に掌握し、個人情報を根こそぎ窃取するその手口は、現代のサイバー攻撃がいかに高度化しているかを示しています。
このような脅威からiPhoneを安全に守るためには、最新のiOSバージョンへの速やかなアップデート、不審なウェブサイトやリンクへの警戒、そして二段階認証の徹底といった基本的なセキュリティ対策を怠らないことが極めて重要です。また、セキュリティに関する情報を常にキャッチアップし、自身のデジタルライフを守るための意識を高めることも不可欠です。進化するサイバー攻撃に対し、私たちユーザーもまた、常に一歩先を行く対策を講じる必要があります。