「サイトを見ただけで感染」iPhoneを乗っ取る新型スパイウェアDarkSwordの全貌
Google・iVerify・Lookoutが公開した新型iOSスパイウェア「DarkSword」。6つの脆弱性を連鎖させ、Safariでサイトを開くだけでiPhoneを完全制圧する。2.7億台が影響。
ニュース
kkm
Backend Engineer / AWS / Django
Safariで開いただけでiPhoneが乗っ取られる
ウクライナのニュースサイトをiPhoneで開いた。それだけで、メッセージ、パスワード、暗号資産ウォレット、位置情報――ほぼすべてのデータが抜き取られていました。
2026年3月18日、Google GTIG(Googleの脅威情報チーム)、iVerify、Lookoutの3つのセキュリティ研究機関が、DarkSwordと名付けられた新型iOSスパイウェアの詳細を同時に公開しました。
影響を受けるiPhoneは推定約2億7000万台。iOS 18.4から18.7を搭載したiPhone Xs以降のすべてのモデルが対象です。
攻撃手法は「ウォーターホール攻撃」と呼ばれるもので、日本語に訳すと「水飲み場攻撃」。ターゲットが日常的にアクセスするWebサイトを事前に改ざんし、訪問者のiPhoneに自動で感染させます。リンクをクリックする必要すらありません。Safariでページを表示した瞬間に攻撃が始まります。
誰が発見し、何が分かったのか
最初に異常を検知したのはGoogle GTIG(旧Google TAG)で、2025年11月頃のことです。ウクライナの2つのWebサイトが改ざんされていることを発見しました。
- — novosti.dn.ua: ドネツク地方の独立系ニュースサイト
- — 7aac.gov.ua: ウクライナ第7行政控訴裁判所の公式サイト
これらのサイトに不正なiframe(見えない埋め込みフレーム)が仕込まれており、iPhoneのSafariでアクセスした瞬間にJavaScriptが実行されます。このスクリプトがまず訪問者のデバイスを「指紋認証」し、iOS 18.4〜18.7のSafariだと判定するとエクスプロイトチェーンを起動します。
Google GTIGはiVerify(iPhoneのセキュリティ検出を専門とするスタートアップ)とLookout(モバイルセキュリティ企業)と連携し、3か月以上にわたる調査の末に2026年3月18日に協調公開に踏み切りました。
6つの脆弱性を数珠つなぎにする攻撃の手口
DarkSwordが使う脆弱性は6つ。そのうち3つがゼロデイ(発見時点でAppleが把握していなかった未知の脆弱性)です。これらを1→2→3…と順番に連鎖させることで、最終的にiPhoneを完全に制圧します。
| # | CVE番号 | どこを突くか | ゼロデイ | 修正iOS |
|---|---|---|---|---|
| 1 | CVE-2025-31277 | JavaScriptCore (Safariのエンジン) | No | iOS 18.6 |
| 2 | CVE-2026-20700 | dyld (セキュリティ認証バイパス) | Yes | iOS 26.3 |
| 3 | CVE-2025-43529 | JavaScriptCore (メモリ破壊) | Yes | iOS 18.7.3 / 26.2 |
| 4 | CVE-2025-14174 | ANGLE (グラフィック処理) | Yes | iOS 18.7.3 / 26.2 |
| 5 | CVE-2025-43510 | iOSカーネル (メモリ管理) | No | iOS 18.7.2 / 26.1 |
| 6 | CVE-2025-43520 | iOSカーネル (メモリ破壊) | No | iOS 18.7.2 / 26.1 |
攻撃の流れをざっくり言うと、こうです。
- 1. 改ざんサイトのJavaScriptがiPhoneのSafariエンジン(JavaScriptCore)のメモリを破壊し、最初の足場を作る
- 2. Appleのセキュリティ認証(PAC)をバイパスし、Safariのサンドボックスから脱出
- 3. WebGPU(グラフィック処理機能)を踏み台にして、iOSの特権サービスに入り込む
- 4. カーネル(iOSの心臓部)の読み書き権限を奪取し、セキュリティ制限を書き換える
- 5. GHOSTBLADEと呼ばれるマルウェアをiOSの複数のシステムプロセスに注入
- 6. データを外部サーバーに送信し、痕跡を消して撤収。滞在時間はわずか数分
数分でデータを抜いて自己消去する。ユーザーが気づく手がかりはほとんど残りません。
抜かれるデータの一覧がえぐい
Lookoutの分析によると、DarkSwordが窃取するデータは以下のとおりです。
| カテゴリ | 対象データ |
|---|---|
| メッセージ | SMS / iMessage / Telegram / WhatsApp / メール |
| 認証情報 | Wi-Fiパスワード / Keychain(保存済みパスワード) |
| 行動履歴 | 位置情報 / 通話履歴 / ブラウザ履歴 / カレンダー |
| 個人データ | 写真 / メモ / ヘルスケア / iCloudデータ |
| 暗号資産 | Coinbase / Binance / Kraken / MetaMask / Phantom |
| 端末情報 | SIMカード情報 / セルラーネットワーク情報 |
メッセージから暗号資産ウォレットまで、iPhoneに入っているほぼすべてのデータが対象です。iCloudに同期しているデータも含まれるため、iPhone本体だけでなくクラウド上の情報まで漏れる可能性があります。
犯人は誰か―ロシア・トルコ・サウジの影
Google GTIGの報告によると、DarkSwordを使っている攻撃グループは少なくとも3つ確認されています。
| グループ名 | 推定背景 | 標的 |
|---|---|---|
| UNC6353 | ロシア系 | ウクライナの一般市民・ ジャーナリスト |
| PARS Defense | トルコの商用 監視ベンダー | 不明 |
| UNC6748 | 不明 | サウジアラビア |
最も活発なのはロシア系とされるUNC6353です。このグループはDarkSwordの前にもCorunaという別のiOSエクスプロイトキットを使ってウクライナを攻撃していたことが分かっています。DarkSwordとCorunaは別の開発者が作ったものですが、同じ指令サーバー(C2)を共有していると報じられています。
つまりDarkSwordは、国家レベルの資金力を持つ複数のグループに「サービスとして」提供されているエクスプロイトキットである可能性が高い。Lookoutの主任研究員Justin Albrecht氏はSecurityWeekの取材に対し「最新のエクスプロイトが犯罪組織の手に渡る検証済みパイプラインが今や存在している」と指摘しています。
DarkSwordが表に出るまでの経緯
← スワイプで移動
Appleとセキュリティ研究者はどう動いたか
Appleの広報担当Sarah O'Rourke氏はTimeの取材に対し、こう述べています。
「ソフトウェアを最新の状態に保つことが、Appleデバイスの高いセキュリティを維持するためにユーザーができる最も重要なことです」
Appleは6つの脆弱性をiOS 26.3までに段階的に修正し、最新のiOS 26にアップデートできない古いiPhone向けにもiOS 15・iOS 16の緊急パッチをリリースしました。また、ジャーナリスト・活動家・政治家など高リスクユーザーにはロックダウンモードの有効化を推奨しています。独立したセキュリティ研究者の検証では、ロックダウンモードが有効な場合、DarkSwordの攻撃は失敗すると確認されています。
Googleは改ざんされたサイトとC2サーバーのドメインをGoogle Safe Browsingのブロックリストに追加しました。SafariでもGoogle Safe Browsingを利用している場合は、今回の攻撃サイトにアクセスすると警告が表示されます。
NYUサイバーセキュリティセンターの共同ディレクターDamon McCoy氏はTimeに対して「これはかなり重大な脅威だ。まだかなりの人がこの古いバージョンのiOSを使っており、そうした人々は極めて脆弱だ」と警告しています。
今すぐやるべきこと
- 1. iOSを最新版にアップデートする。「設定」→「一般」→「ソフトウェアアップデート」から確認できます。iOS 26.3.1が最新です
- 2. iOS 26にできない古いiPhone(iPhone 8以前)は、Apple提供のiOS 15 / iOS 16緊急パッチを適用する
- 3. ロックダウンモードの利用を検討する。「設定」→「プライバシーとセキュリティ」→「ロックダウンモード」で有効化。日常的な使い勝手は落ちますが、DarkSwordの攻撃はブロックされると確認されています
- 4. 自動アップデートを有効にする。「設定」→「一般」→「ソフトウェアアップデート」→「自動アップデート」をオンに
iVerifyの共同創業者Matthias Frielingsdorf氏は「自動更新があっても、多くのiOSユーザーが脆弱なままだ」と指摘しています。「あとで」を押し続けていると、その間に攻撃者は動き続けます。
「うちのiPhoneは大丈夫」という思い込みが一番危ない
映画でよくあるハッキングのシーンを思い出してください。たいていは画面いっぱいに緑色のコードが流れて、怪しいメールを開いて、何かをクリックして――という派手な演出です。
DarkSwordはそのどれも必要としません。ニュースサイトを読んだだけで感染する。警告は出ない。数分でデータを抜いて消える。被害者はハッキングされたことすら気づかない。
「iPhoneはAndroidより安全」という認識は、ある程度は正しかった。しかしその安全性は、Appleが壁を作り続けることと、ユーザーがその壁を最新に保ち続けることで成り立っています。壁を作る側と壊す側の技術競争は止まることがありません。
いま手元にあるiPhoneの「設定」→「一般」→「ソフトウェアアップデート」を開いてみてください。もし「お使いのソフトウェアは最新です」と表示されないなら、DarkSwordが狙える隙間がまだそこにあります。
参照元
- ▸ Google Cloud Blog - The Proliferation of DarkSword: iOS Exploit Chain Adopted by Multiple Threat Actors
- ▸ iVerify - Inside DarkSword: A New iOS Exploit Kit
- ▸ Lookout - Attackers Wielding DarkSword Threaten iOS Users
- ▸ TechCrunch - Russians caught stealing personal data from Ukrainians with new advanced iPhone hacking tools
- ▸ Time - Millions of iPhones Could Be Vulnerable to New Spyware
- ▸ The Hacker News - DarkSword iOS Exploit Kit Uses 6 Flaws, 3 Zero-Days
- ▸ CyberScoop - Second iOS exploit kit emerges from suspected Russian hackers
- ▸ SecurityWeek - DarkSword iOS Exploit Kit Used by State-Sponsored Hackers
- ▸ NBC News - Apple warns iPhone users to update software after mass hacking campaigns
- ▸ Dark Reading - DarkSword: iPhone Exploit Kit Serves Spies & Thieves Alike