iOSエクスプロイトキット「DarkSword」:ゼロデイ3件を含む6脆弱性チェーンでiPhoneを完全侵害――複数アクターが監視・情報収集に利用

この記事は約9分で読めます。

iOSエクスプロイトキット「DarkSword」:ゼロデイ3件を含む6脆弱性チェーンでiPhoneを完全侵害――複数アクターが監視・情報収集に利用

本稿では、Google Threat Intelligence Group(GTIG)、Lookout、iVerifyが2026年3月18日から19日にかけて協調公開したiOSフルチェーンエクスプロイトキット「DarkSword」について解説します。GTIGはDarkSwordがiOS 18.4〜18.7をサポートすると説明しており、6件の脆弱性(うち3件はゼロデイとして悪用)を連鎖させてデバイスの完全侵害につながり得るキットです。2025年11月以降、ロシア系の疑いがあるグループ、トルコの商用監視ベンダー、出所不明の脅威クラスタの少なくとも3つのアクターによる使用が確認されています。サウジアラビア、トルコ、マレーシア、ウクライナのユーザーが標的にされており、Corunaに続き、2週間のうちに2件目の大規模iOS悪用事例として公表されました。

DarkSwordの概要と発見経緯

DarkSwordはGTIGが回収したペイロード内のツールマークから名付けられたもので、2025年11月以降の活動が確認されています。GTIGによれば、複数の商用監視ベンダーと国家支援が疑われるアクターが、それぞれ異なるキャンペーンでDarkSwordを使用しています。監視・情報収集用途が中心ですが、暗号資産ウォレットアプリのデータを探索する機能も確認されています。

DarkSwordの技術的な特徴として、全ステージと最終ペイロードが純粋なJavaScriptで実装されている点があります。これにより、AppleのPage Protection Layer(PPL)やSecure Page Table Monitor(SPTM)の回避を目的とした追加のネイティブ実行チェーンを必要としない構成になっています。

GTIGは2025年後半にすべての脆弱性をAppleに報告しており、6件のCVEはすべてパッチ済みです。対応機種では最新のiOSへ更新すべきです(2026年3月19日時点では、現行機種向けがiOS 26.3.1、旧機種向けがiOS 18.7.6)。iVerifyは、影響を受け得る旧版iOSが最大2.7億台規模で残っている可能性を示しています。

6件の脆弱性チェーン

DarkSwordのエクスプロイトチェーンは、大きく3つの段階(初期RCE、サンドボックス脱出、権限昇格)に分かれており、合計6件の脆弱性が連鎖的に悪用されます。なお、GTIGはDarkSwordがiOS 18.4〜18.7をサポートすると説明していますが、iVerifyがウクライナで回収した実例はiOS 18.4〜18.6.2を標的としていました。

初期のリモートコード実行(RCE)段階では、JavaScriptCoreのメモリ破壊脆弱性が利用されます。iOS 18.6より前のデバイスにはCVE-2025-31277(JIT最適化/型混同バグ、iOS 18.6で修正済み)が使われ、iOS 18.6〜18.7のデバイスにはCVE-2025-43529(DFG JITレイヤーのガベージコレクションバグ、iOS 18.7.3および26.2で修正済み、ゼロデイとして悪用)が使われます。いずれの場合もfakeobj/addrof プリミティブを構築し、任意の読み書きプリミティブに発展させます。

これらのRCEは直接CVE-2026-20700(dyldのユーザーモードPointer Authentication Code(PAC)バイパス、iOS 26.3で修正済み、ゼロデイとして悪用)とチェーンされ、後続のエクスプロイトステージに必要な任意コード実行を実現します。

サンドボックス脱出段階では、CVE-2025-14174(ANGLEのメモリ破壊、WebGLオペレーションでのパラメータ検証不足によるOOB書き込み、iOS 18.7.3および26.2で修正済み、ゼロデイとして悪用)を使ってSafariのWebContentサンドボックスからGPUプロセスに脱出します。さらにGPUプロセスからCVE-2025-43510(iOSカーネルのcopy-on-writeバグ、iOS 18.7.2および26.1で修正済み)を使ってmediaplaybackdデーモンへ移行し、次段の実行基盤を確立します。

最終段階ではCVE-2025-43520(iOSカーネルのメモリ破壊、iOS 18.7.2および26.1で修正済み)で権限昇格を行い、広範なメモリアクセスを獲得して注入されたJavaScriptコードを実行します。

3つの脅威アクターと3つのマルウェアファミリー

DarkSwordの特異な点は、単一のエクスプロイトキットが性格の異なる複数の脅威アクターによって使用されていることです。GTIGは、DarkSwordによる侵害後に展開される3つのマルウェアファミリーを特定しています。

UNC6353はGTIGがロシア系の疑いがあるスパイ活動グループとして追跡しているアクターで、先月公開されたCorunaエクスプロイトキットも使用していました。ウクライナの正規Webサイトに悪意あるscriptタグを埋め込み、隠しiFrameからDarkSwordを読み込むウォーターホール攻撃を実行しています。ソースコード内にロシア語のコメントが確認されており、GTIGはCERT-UAと連携してこのキャンペーンへの対処を進めています(2026年3月時点で継続中)。展開されるマルウェアはGHOSTBLADEで、データ収集に特化しています。

UNC6748はサウジアラビアのユーザーを標的とし、偽のSnapchatサイト(snapshare[.]chat)からDarkSwordを配信しています。展開されるGHOSTKNIFEは、サインイン済みアカウント、メッセージ、ブラウザデータ、位置情報履歴、マイク録音を流出させるJavaScriptバックドアです。C2通信にはECDHとAESによるカスタムバイナリプロトコルを使い、クラッシュログを削除してフォレンジック検出を回避します。

トルコの商用監視ベンダーPARS Defenseはトルコとマレーシアのユーザーを標的にし、GHOSTSABERを展開しています。15以上のC2コマンドに対応し、デバイス列挙、ファイル流出、任意のSQLiteクエリ実行、写真サムネイルのアップロードなどが可能です。配信時にはECDH鍵交換でエクスプロイトステージを暗号化する運用セキュリティ上の工夫も確認されています。

CorunaとDarkSwordの関連性

2026年3月初旬にGoogleとiVerifyが公開したCorunaは、iOS 13〜17.2.1を対象に23件の脆弱性(うちゼロデイ約12件)を悪用するエクスプロイトキットで、iOSデバイスを対象とした大規模な悪用事例として報告されていました。DarkSwordはCorunaとインフラを共有しており、同じUNC6353が両方を使用しています。

CorunaとDarkSwordが短期間に相次いで発見されたことについて、iVerifyは攻撃側の運用セキュリティ(OPSEC)の甘さが発見の端緒になったと分析しています。裏を返せば、より注意深い攻撃者が同様のエクスプロイトチェーンを使用している場合、発見はさらに困難になることを意味しています。

実務上の影響と対策

最優先の対策はiOSの更新です。対応機種では最新バージョンへの更新を行うべきです。更新が利用できないデバイスでは、Lockdown Modeの有効化が追加の防御策としてAppleとGTIGから推奨されています。GoogleはDarkSwordの配信に使われた全ドメインをSafe Browsingに追加済みです。

企業のモバイルデバイス管理(MDM)の観点では、脆弱なiOSバージョンで稼働しているデバイスの特定と、強制アップデートの適用が点検したいポイントです。DarkSwordの配信には、改ざんされた正規サイトを使うウォーターホール型と、偽装サイト経由の手法の両方が確認されています。ウォーターホール型はユーザーが普段から訪問している正規サイトが感染源になるため、フィッシング対策訓練だけでは対処できないタイプの攻撃です。デバイス側のパッチ適用とLockdown Modeが防御の中心になります。

業務クリティカルなワークフローが単一のモバイルデバイスに集約される傾向が強まる中、iOSデバイスは従来のエンドポイントほどの厳格な監視を受けていないケースが多いのが実情です。攻撃者がデバイス上の認証情報や業務データにアクセスした場合、SaaSプラットフォームやクラウド環境への横展開も想定されます。

iOSのゼロデイエクスプロイトキットがCorunaとDarkSwordの2件続けて公開されたことは、このクラスの攻撃ツールが国家予算の範囲を超え、商用監視ベンダーを含む複数のアクターに拡散していることを示しています。GTIGは「他の商用監視ベンダーや脅威アクターもDarkSwordを使用している可能性がある」としており、同種のキットが今後も発見される可能性があります。

参考情報

コメント

タイトルとURLをコピーしました