2026年3月、iOSデバイスを標的とした新たなエクスプロイトチェーン「DarkSword」の詳細が、Google Threat Intelligence Group(GTIG)、Lookout、iVerifyなどのセキュリティ研究機関の共同調査によって明らかになった。この攻撃フレームワークは、iOS 18.4から18.7を搭載するiPhoneに対し、合計6つの脆弱性を連鎖的に悪用してデバイスの完全な制御を奪取するものだ。

DarkSwordは技術的な脅威であると同時に、国家支援型攻撃グループから商業スパイウェアベンダー(CSV)まで、背景の異なる複数の脅威アクターによって共有・運用されている。これに先立って発見された「Coruna」エクスプロイトチェーンと同様に、極めて高度なモバイルハッキング技術が二次市場で流通し、標的型攻撃から金銭目的の広範なデータ窃取へと転用されている現状を如実に示している。本稿では、DarkSwordの感染メカニズム、展開されるマルウェアの特性、そしてこの事象がモバイルセキュリティにもたらす構造的な変化を分析する。

AD

巧妙化する水飲み場型攻撃と多段式エクスプロイトチェーン

6つの脆弱性を貫通するサンドボックスエスケープ

DarkSwordの攻撃手法は、ユーザーが改ざんされたWebサイトにアクセスするだけで発動する、いわゆる水飲み場型攻撃(Watering Hole Attack)を採用している。攻撃の起点となるのはSafariでのWebブラウジングである。不正なiframeが埋め込まれた正当なWebサイトを開くと、デバイスのオペレーティングシステムやバージョンを特定するJavaScriptが実行され、条件に合致するデバイスに対してペイロードが投下される。

初期の侵入経路として、iOS 18.6未満のデバイスにはJavaScriptCoreのメモリ破損脆弱性(CVE-2025-31277)が、iOS 18.6から18.7のデバイスにはガベージコレクションの欠陥(CVE-2025-43529)が利用される。これにより、SafariのレンダラープロセスであるWebContent内で任意のコード実行権限が獲得される。次に、dyldにおけるユーザーモードのPointer Authentication Code(PAC)バイパス脆弱性(CVE-2026-20700)を突くことで、強固なメモリ保護機能を無効化する。

WebContentプロセスから抜け出すため、攻撃者はANGLEのアウトオブバウンズ書き込み脆弱性(CVE-2025-14174)を利用してGPUプロセスへ移行する。さらに、アップルのドライバー(AppleM2ScalerCSCDriver)内におけるCopy-On-Writeの欠陥(CVE-2025-43510)を突いて、GPUプロセスからより高い権限を持つシステムサービスであるmediaplaybackdへと侵入領域を拡大する。最終段階として、仮想ファイルシステムにおけるカーネルモードの競合問題(CVE-2025-43520)を悪用し、カーネル内での任意のメモリ読み書き権限を獲得する。

純粋なJavaScriptによるエクスプロイトの特異性

Corunaと異なり、DarkSwordは初期の侵入からカーネルの特権昇格、さらには最終ペイロードの実行に至るまですべて純粋なJavaScriptで実装されている。一般的なモバイルマルウェアは、エクスプロイトの最終段階でコンパイル済みのバイナリ(Mach-Oファイルなど)をターゲットプロセスにインジェクトする手法をとる。

しかし、DarkSwordのコード群はそうしたバイナリの持ち込みを一切行わない。これは極めて洗練された設計であり、iOSに実装されているPPL(Page Protection Layer)やSPTM(Secure Page Table Monitor)といった、未署名のバイナリコード実行を阻止するための強力なセキュリティ機構と真っ向から衝突することを回避している。脆弱性を突いてメモリの読み書き権限を得た後、JIT(Just-In-Time)コンパイラやスクリプトエンジンを操作して論理的なプロセスとしてデバイスを支配するこの手法は、解析を困難にすると同時に、攻撃のフットプリントを最小限に抑える機能的なメリットを提供している。

多様化する攻撃アクター:地政学的対立から商業ハッキングまで

DarkSwordの開発元は一つの高度なサイバー兵器開発グループ、あるいはエクスプロイトブローカーと推定されるが、運用している脅威アクターは単一ではない。GTIGの観測によれば、2025年11月以降、少なくとも3つの異なるグループがこのエクスプロイトを採用している。

ロシアの暗躍が疑われるUNC6353とウクライナ標的化

最も警戒されているのが、ロシア情報機関とのつながりが指摘される脅威集団「UNC6353」の活動である。彼らはウクライナの独立系ニュースサイト(novosti.dn.ua)や政府系控訴院のサイト(7aac.gov.ua)を改ざんし、インビジブルなiframeを通じてDarkSwordを配信した。このグループは直近でも「Coruna」を用いた同様の攻撃を実施しており、情報収集と破壊工作のために最上位水準のエクスプロイトチェーンを継続的に調達し、ウクライナへのサイバー工作に投入している。

商業スパイウェアベンダーを顧客とするPARS Defenseの展開

トルコを拠点とする商業スパイウェアベンダー「PARS Defense」に関連する活動も確認されている。同社の顧客とみられるアクターは、2025年11月にトルコ国内で、翌2026年1月にはマレーシアでDarkSwordを展開した。彼らのローダーは、ペイロードの暗号化にECDHとAESを利用し、デバイスのフィンガープリントを取得して感染を厳格に制御するなど、UNC6353よりも強固な運用セキュリティ(OPSEC)対策を講じている。

サウジアラビアを狙うUNC6748による偽装ルアー

さらに別のグループであるUNC6748は、サウジアラビアのユーザーを標的とし「snapshare.chat」というSnapchatを偽装したドメインを利用した。このキャンペーンでは、過去に感染させた端末を再感染させないためのセッションストレージ確認機能や、デバッガー検知ロジックなどが組み込まれており、特定の地域における情報窃取を目的とした執拗な攻撃インフラである。

AD

情報の根こそぎ窃取を狙う最終ペイロードの実態

DarkSwordの初期攻撃が成功した後に送り込まれるのは、従来の持続的標的型攻撃(APT)でみられるような長期潜伏型のバックドアではない。GTIGは、展開されるマルウェア群をGHOSTBLADE、GHOSTKNIFE、GHOSTSABERの3種類に分類しているが、共通しているのは「短時間で大量の機密データを抜き出し、自己消去して撤収する」というヒットアンドラン型の戦術である。

プロセスごとの権限を利用した並列データ抽出

最終ペイロードである「pe_main.js」は、特権を獲得した後、システムの根幹を担う複数のデーモンにJavaScriptCoreフレームワークをロードし、個別の機能を持ったインプラントを注入する。「configd」にはキーチェーンの情報を抜き出すインプラントが、「wifid」や「securityd」にはWi-Fiパスワードをダンプするインプラントが、「UserEventAgent」にはiCloud Drive上のファイルを標的とするインプラントがそれぞれ並行して展開される。これにより、攻撃者は個別のプロセスの権限を最大限に活用し、最も保護の強固なデータ群にアクセスする。取得されたすべての情報は、「SpringBoard」プロセスを通じて一括でC2サーバーに送信される。

インフォスティーラーとしてのGHOSTBLADEと暗号資産層への攻撃

UNC6353がウクライナへの攻撃で使用したGHOSTBLADEは、極めて強力なデータ収集の役割を担っている。iMessageデータベース、TelegramやWhatsAppの通信記録、Safariのブラウジング履歴、位置情報、写真のメタデータなど、デバイス内に保存されたあらゆる個人情報を外部へ送信する。

特筆すべきは、暗号資産の窃取に対する明確な設計上の意図である。GHOSTBLADEは、Coinbase、Binance、Krakenといった主要な取引所アプリから、LedgerやTrezorなどのハードウェアウォレットのコンパニオンアプリ、さらにはMetamaskやPhantomといった分散型ウォレットのデータを優先的に探索・流出させるアルゴリズムを持っている。これは、国家主導の諜報活動と並行して、作戦資金の獲得を目的とした金銭的動機が背後に存在することを示唆している。

GHOSTKNIFEとGHOSTSABERによるモジュール化されたスパイ機能

UNC6748が使用するGHOSTKNIFEや、PARS Defense関連の攻撃で確認されたGHOSTSABERは、よりインタラクティブなスパイ機能を有する。GHOSTKNIFEは、デバイスのマイクを利用した環境音の録音やスクリーンショットの撮影、さらにはC2サーバーからの追加機能モジュールのダウンロードをサポートする。これらは攻撃の痕跡を隠滅するため、デバイス内のクラッシュログを定期的に検索し、解析の手がかりとなるファイルを消去するルーチンも内包している。

エクスプロイト市場の成熟がもたらすパラダイムシフト

今回のDarkSword、そしてCorunaの連続した発見は、モバイルプラットフォームにおける安全の定義が根底から覆りつつあることを示している。水飲み場型攻撃とゼロクリックに近いブラウザエクスプロイトの組み合わせは、不審なリンクをクリックしないといったエンドユーザーの基本的なセキュリティ認識に依存する防衛策を完全に無効化する。正当な政府機関やニュースサイトにアクセスするだけで、ユーザーが気づかないうちに数秒でデバイスの制御が奪われ、資産やプライベートな情報が流出する。

かつては数億円以上の価値があるとされた高度なiOSフルチェーンエクスプロイトは、国家情報機関のみが独占する兵器であった。しかし、現在のサイバー地下市場では、高い資金力を持つサイバー犯罪集団やロシアの非正規ハッカー部隊が、ゼロデイ脆弱性を含む強力なハッキングツールを専門ブローカー(Operation ZeroやMatrix LLCなど)から調達し、即座に実作戦に投入している。エクスプロイトのコモディティ化は急速に進展しており、技術的な障壁による保護は崩れ去った。

企業のネットワーク防御は、従業員が所有する無数のモバイルエンドポイントがすでに侵害可能であるという前提のアーキテクチャへと移行せざるを得ない。iOS 26.3.1や18.7.6といった最新パッチの適用率を組織全体で監視・強制する体制の構築はもちろんのこと、極度に機密性の高い環境では、Appleのロックダウンモードの常時有効化や、Memory Integrity Enforcement(MIE)を備えた最新のハードウェアへの強制移行が、事業継続のリスク管理における必須要件となる。

Sources