Google Threat Intelligence Group(GTIG)は2026年3月19日、iOSデバイスを完全侵害する新たなエクスプロイトチェーン「DarkSword」を発見したと発表した。DarkSwordはiOS 18.4から18.7に対応し、6種類の脆弱性を悪用する。
少なくとも2025年11月以降、商業スパイウェアベンダーのPARS Defenseや、ロシアの国家支援グループと疑われるUNC6353を含む複数の脅威アクターが、サウジアラビア、トルコ、マレーシア、ウクライナを標的に本チェーンを使用した。展開されるマルウェアはGHOSTBLADE、GHOSTKNIFE、GHOSTSABERの3種類で、いずれもJavaScriptで記述されている。GTIGは2025年末にAppleへ脆弱性を報告し、すべてのパッチはiOS 26.3のリリース時に適用された。本調査はLookoutおよびiVerifyと連携して公開された。
From: 
The Proliferation of DarkSword: iOS Exploit Chain Adopted by Multiple Threat Actors
【編集部解説】
DarkSwordが世界に突きつけているのは、「iPhoneは安全」という認識が、もはや通用しない時代への警告です。
今回の発見で特に注目すべきは、DarkSwordがCoruna(2026年3月初旬に公開された別のiOSエクスプロイトキット)の公開からわずか2週間後に明らかになった点です。つまりAppleのモバイルOSを標的とした高度なエクスプロイトチェーンが、ほぼ同時に複数存在していたことになります。ひと月に2件という発見の頻度は、研究者コミュニティにとっても異例の事態です。
DarkSwordの技術的な核心は、6つの脆弱性を連鎖させて実質的なワンクリック攻撃を実現している点にあります。ユーザーが改ざんされた正規のウェブサイトを訪問するだけで感染が完結し、それ以上の操作は一切必要ありません。訪問しているのが信頼できるはずの正規サイトである以上、フィッシングメールを開かない・不審なアプリを入れないといった従来の対策では防ぐことができません。また、すべての処理が純粋なJavaScriptで実装されている点も技術的に特徴的です。バイナリコードを使わないことで、Appleが導入したPPL(Page Protection Layer)やSPTM(Secure Page Table Monitor)といった署名検証の防御機構を回避できるという巧妙な設計です。
感染後に展開されるGHOSTBLADEの挙動は、いわば「デジタル家宅捜索」です。iMessageやWhatsApp・Telegramのメッセージ、位置情報の履歴、Wi-Fiパスワード、暗号資産ウォレットのデータなど、スマートフォンに格納されたほぼすべての個人情報が収集対象となっています。さらにLookoutの分析によると、GHOSTBLADEはデータを窃取した後に痕跡を消去する「ヒット・アンド・ラン」型の設計であり、被害者が感染に気づきにくい構造になっています。
脅威アクターの構図も複雑です。Googleの分析ではUNC6353をロシア系のスパイ活動グループとして位置づけていますが、Lookoutはさらに踏み込み、「暗号資産の窃取を標的にしている点から、金銭的動機も持つロシア支援の私掠(しりゃく)グループまたは犯罪代行アクターである可能性を考慮しなければならない」と指摘しています。つまり純粋な諜報目的だけでなく、資金調達の手段としても同エクスプロイトが利用されている可能性があります。
規制の観点からも見逃せない動きがあります。Googleは声明の中で、商業スパイウェア産業の規制を目指す国際的な枠組みである「Pall Mall Process」への参加を表明しています。DarkSwordとCorunaの連続発見は、この議論に強い現実的根拠を与えるものであり、商業サイバー侵入ツールの拡散を規制する国際的な圧力が今後さらに高まることが予想されます。
ユーザーへの実践的な示唆として、AppleはiOS 17以降の端末ではMemory Integrity Enforcementという機能により今回の攻撃から保護されていることを確認しています。また、2026年3月11日にはiOS 15およびiOS 16向けのセキュリティアップデートもリリース済みです。現時点での最善策は最新のiOSへのアップデートであり、アップデートが困難な端末ではロックダウンモードの有効化が有効な対策となります。
【用語解説】
エクスプロイトチェーン(Exploit Chain)
複数の脆弱性を順番に連鎖させて悪用する攻撃手法。単独の脆弱性では実現できない高い権限の奪取や深い侵害を可能にする。DarkSwordは6つの脆弱性をチェーンさせることでiOSの完全制御を実現している。
ゼロデイ脆弱性(Zero-day vulnerability)
開発者やベンダーがまだ把握していない、あるいはパッチが存在しない脆弱性のこと。発見から公表・修正まで「0日間」しか猶予がないことが名称の由来だ。攻撃者が修正前に悪用するため、防御が極めて困難な攻撃となる。
ウォーターホール攻撃(Watering Hole Attack)
標的が頻繁に訪問するウェブサイトを改ざんし、訪問者のデバイスに不正なコードを実行させる攻撃手法。UNC6353はウクライナのユーザーが閲覧する正規サイトを複数改ざんし、DarkSwordを配信した。フィッシングと異なり、ユーザーが「信頼できるサイト」を訪問するだけで感染するため、従来のセキュリティ教育では防げない点が特徴だ。
C2サーバー(Command & Control Server)
攻撃者がマルウェアに命令を送ったり、感染端末から窃取データを受け取ったりするために使う遠隔操作用のサーバー。GHOSTBLADEなどは感染後、このC2サーバーとHTTP(S)で通信を行う。
サンドボックス(Sandbox)
プログラムの動作を隔離された仮想環境に閉じ込め、他のシステムへの影響を防ぐセキュリティ機能。Safariはコンテンツの処理をWebContentサンドボックスなど複数の層で分離しており、DarkSwordはこれを段階的に突破する。
JavaScriptCore
AppleのWebKitに組み込まれたJavaScriptエンジンで、SafariおよびiOS上のすべてのブラウザーが使用する。DarkSwordはこのエンジンのJIT(Just-In-Time)コンパイラーに存在するメモリ破損の脆弱性を起点に攻撃を開始する。
PAC(Pointer Authentication Codes)
Appleがメモリ保護のために導入したハードウェアレベルのセキュリティ機能。ポインタ(メモリアドレス)に暗号的な署名を付加することで改ざんを検知する。DarkSwordはdyld内の脆弱性CVE-2026-20700を使ってこれをバイパスしている。
Memory Integrity Enforcement
iOS 17以降に導入されたAppleのセキュリティ機能。カーネルメモリの整合性を保護し、権限昇格を伴う攻撃を困難にする。Appleによれば、iOS 17以降のデバイスは今回の攻撃に対してこの機能により保護されている。
【参考リンク】
Google Threat Intelligence(外部)
脅威アクターの追跡・マルウェア分析・脆弱性調査を行うGoogleのインテリジェンスサービス。DarkSword発見を主導。
Lookout(外部)
モバイルセキュリティ専門の米国企業。DarkSwordの調査を主導し、GTIGおよびiVerifyと共同でレポートを公開した。
iVerify(外部)
iOSデバイスのセキュリティ診断に特化した米国企業。DarkSwordの感染チェーン解析と脆弱デバイス数の推計を発表。
Apple:ロックダウンモードについて(外部)
AppleによるiPhone・iPad向け高度セキュリティ機能の公式サポートページ。DarkSword対策として有効化を推奨。
Pall Mall Process(英国政府公式ページ)(外部)
英国・フランスが主導し2024年発足。商業スパイウェアを含むサイバー侵入ツールの規制を目指す国際的な多国間イニシアチブ。
CERT-UA(外部)
ウクライナ政府のサイバーセキュリティ機関。DarkSwordによるウォーターホール攻撃の緩和にGTIGと連携して対応。
【参考記事】
Inside DarkSword: A New iOS Exploit Kit Delivered Via Compromised Legitimate Websites(外部)
iVerifyによる技術分析。約2億2,152万台(14.2%)が依然脆弱と推計。iOS 26.3.1・18.7.6への更新を明示。
‘DarkSword’ iOS Exploit Kit Used by State-Sponsored Hackers, Spyware Vendors(外部)
脆弱デバイスを約2億2,152万台と明記。全iOS 18対象では約2億9,624万台(18.99%)が影響を受ける可能性と報告。
DarkSword iOS Exploit Kit Uses 6 Flaws, 3 Zero-Days for Full Device Takeover(外部)
DarkSwordがCorunaに続く第2弾と指摘。UNC6353をロシア支援の私掠グループと位置づけるLookoutの見解を紹介。
Attackers Wielding DarkSword Threaten iOS Users(外部)
感染後数秒〜数分でデータ窃取・痕跡消去する「ヒット・アンド・ラン」型設計を公式分析。エクスプロイト中古市場の存在も指摘。
New DarkSword iOS exploit used in infostealer attack on iPhones(外部)
AppleコメントとiOS 17以降の保護状況を収録。iOS 15・16向けパッチが2026年3月11日リリース済みと明記。
DarkSword: Researchers uncover another iOS exploit kit(外部)
CorunaとDarkSwordを比較。Corunaは23脆弱性・5チェーン、DarkSwordは6脆弱性を連鎖させる設計として整理。
DarkSword: iPhone Exploit Kit Serves Spies & Thieves Alike(外部)
「モバイルのゼロデイをエンタープライズ級の侵害経路として扱うべき」とAttackIQのCISOが言及。LLM関与の可能性も報告。
【編集部後記】
「iPhoneだから安全」と、私たちもどこかで思っていませんでしたか。DarkSwordの登場は、信頼しているはずの正規サイトを訪問するだけで感染が完結しうる時代が来たことを静かに示しています。スマートフォンの中には、私たちの人間関係、財産、日常のすべてが詰まっています。セキュリティはいつから、私たちにとって他人事ではなくなったのでしょう。みなさんはどうお感じになりますか。
