概要
2026年3月、GoogleのThreat Intelligence Group(GTIG)、Lookout、iVerifyの研究者が協力し、iOS向けの高度なエクスプロイトキット「DarkSword」を公表した。このマルウェアは少なくとも2025年11月から活動を確認されており、iOS 18.4〜18.7を搭載した未パッチのiPhoneを標的にする。ウォレータホール攻撃(水飲み場攻撃)と呼ばれる手法で、正規の侵害済みWebサイトを経由して配布され、ユーザーがアプリをインストールしたりリンクをクリックしたりしなくても、脆弱なiPhoneで該当サイトを訪れるだけで感染が成立する点が特に危険視されている。
Appleはすべての対象バージョンにパッチを提供済みで、iOS 15〜26向けにセキュリティアップデートを展開。しかし推定2億2,000万〜2億7,000万台のiPhoneが依然としてiOS 18系の未パッチ状態のまま残っているとされており、広範なリスクが続いている。
攻撃の仕組みと技術的詳細
DarkSwordは6つのCVE(CVE-2025-31277、CVE-2025-43529、CVE-2026-20700、CVE-2025-14174、CVE-2025-43510、CVE-2025-43520)を連鎖的に悪用する多段階のエクスプロイトチェーンで構成される。
攻撃はstatic[.]cdncounter[.]netから読み込まれるJavaScriptによるデバイスフィンガープリンティングから始まる。続いてSafariのJavaScriptCore JIT脆弱性を悪用してリモートコード実行(RCE)を達成し、GPUプロセスを経由してサンドボックスを脱出、さらにXNUカーネルのAppleM2ScalerCSCDriverを標的にした特権昇格を行うことでカーネルレベルのアクセス権を確立する。メインオーケストレーターコンポーネントpe_main.jsが各段階を制御し、JavaScriptエンジンをiOSの特権サービスに注入する仕組みとなっている。
暗号資産ウォレットへの脅威
侵害後は「GHOSTBLADE」と呼ばれるモジュールが展開され、以下の機密データを組織的に窃取する。
- 暗号資産ウォレット: Coinbase、Binance、Kraken、KuCoin、OKX、Mexcなど主要取引所のアプリ、およびLedger、Trezor、MetaMask、Exodus、Uniswap、Phantom、Gnosis Safeなどウォレットアプリのデータ(30以上のアプリに対応)
- キーチェーンデータ: パスワード、Wi-Fiパスワード、ネットワーク設定
- メッセージ: SMS、Telegram、WhatsAppのデータベース
- その他: ブラウザ履歴、連絡先、位置情報履歴、写真、デバイス識別子
データ窃取が完了すると、DarkSwordは自ら一時ファイルや悪意あるプロセスを削除して痕跡を消去する自己クリーンアップ機能を持ち、フォレンジック調査を困難にしている。
地政学的背景と攻撃者
DarkSwordは国家レベルの攻撃者を含む複数の脅威アクターによって使用されており、ロシアの諜報機関と関連するとされるUNC6353グループによるウクライナユーザーへの攻撃が確認されている。そのほか、サウジアラビア、トルコ、マレーシアでの攻撃も観測されており、アジア太平洋地域を含む広範な地域に脅威が及んでいる。
推奨される対策
Appleは脆弱なすべてのiOSバージョンに対してパッチを提供済みであるため、即座にiOSを最新版に更新することが最善の対策となる。iOS 17以降はメモリ整合性強制(Memory Integrity Enforcement)機能が標準搭載されており、エクスプロイトの成功を困難にする。また、ロックダウンモードを有効化することで追加の保護が得られるとされている。暗号資産を保有するユーザーは、端末の更新とともに重要な秘密鍵をハードウェアウォレットへ移行するなどの対策も検討すべきだ。