脆弱性として知られる ダークソード これは、最近iPhoneに影響を与えた最も深刻なセキュリティインシデントの1つとなっています。Google、iVerify、Lookoutの研究者たちは、この一連の ゼロクリック攻撃 このマルウェアは、感染したウェブページを読み込むだけで、iOS 18を搭載したデバイスを制御可能にします。ユーザーは何も操作したり、不審なリンクを開いたりする必要はありません。
この事件は欧州のサイバーセキュリティコミュニティに警鐘を鳴らした。 数億台のiPhone iOS 18の脆弱性のあるバージョンが依然として世界中で稼働している。Appleはすでに修正プログラムと緊急パッチをリリースしているが、最新バージョンの普及は予想よりも遅れている。その理由の一つは、 スペースを管理する維持されている かなりの攻撃対象領域 ヨーロッパだけでなく、他の市場においても。
ダークソードとは一体何なのか、そしてなぜこれほど大きな懸念を引き起こしているのか?
DarkSwordは単なる孤立した欠陥ではなく、 iOS向け完全攻撃キット ユーザーの操作なしにiPhoneを侵害するように設計されている。技術分析によると、ツールチェーンは 6つのゼロデイ脆弱性 Safariブラウザからオペレーティングシステムのカーネル自体にアクセスし、デバイス上のほぼすべての情報にアクセスできる十分な権限を取得する。
元のキャンペーンは 数十の正当なウクライナのウェブサイト 改ざんされていたページにアクセスするだけで、感染したiPhoneからこれらのページにアクセスするだけで、バックグラウンドでエクスプロイトチェーンが起動してしまう。そこから、DarkSwordはiMessage、WhatsApp、Telegramのメッセージを読み取ったり、閲覧履歴を確認したり、メモやカレンダーの予定を表示したり、Appleのヘルスケアアプリの記録にアクセスしたりすることができた。
研究者たちが最も懸念している要素の一つは、この攻撃が大規模に展開されており、注目度の高い標的だけを狙ったものではないということだ。iVerifyとLookoutが収集したデータによると、 2億2000万台から2億7000万台のiPhone 彼らは依然として脆弱性のあるiOS 18のバージョンを使用しており、これは実際にはアクティブなiPhoneユーザーの約14~25%に相当する。
さらに、DarkSwordは、アナリストがコードネームで呼ぶポストエクスプロイトモジュールのアーキテクチャに依存しています。 ゴーストブレード、ゴーストナイフ、またはゴーストセイバー— 盗まれた情報を非常に短時間で収集およびパッケージ化する責任を負う者であり、これはスパイ活動にとって特に魅力的であり、 仮想通貨の盗難.
攻撃の仕組み:SafariからiOSコアまで
DarkSwordは、次々とリンクされる一連のセキュリティ脆弱性を悪用して動作します。主な侵入ポイントは Safariブラウザ または、Webコンテンツをレンダリングするあらゆるコンポーネント。侵害されたページが読み込まれると、JavaScriptエンジンやその他のブラウザコンポーネントの脆弱性を悪用するように特別に設計されたコードが実行されます。
最初の段階が成功すると、エクスプロイトはシステムのより深い層に進み、追加の脆弱性を利用して、 特権昇格によるコード実行そのレベルのアクセス権限があれば、攻撃者は内部データベースを読み取ったり、パスワードキーチェーンを抽出したり、会話を閲覧したり、通常はユーザー自身のアプリからも保護されているファイルにアクセスしたりすることが可能になります。
このアプローチは、 ファイルレスつまり、DarkSwordは目に見えるアプリケーションや永続ファイルをインストールしません。代わりに、オペレーティングシステムのプロセスを乗っ取り、メモリから悪意のあるコマンドを実行し、数分以内にすべての痕跡を消去します。この「ヒットアンドラン」の挙動は、たとえ専門的な対策を講じても検出を極めて困難にします。なぜなら、スマートフォンの再起動後には、侵入の明確な痕跡がほとんど残らないからです。
この操作方法は、高度なコンピュータ攻撃で使用される古典的な手法を彷彿とさせるが、Appleのエコシステムに合わせて調整されている。実際、研究者たちは、 常駐型スパイウェアの一般的な兆候は観察されなかった。これは、デバイス上で不審なアプリを探すことに慣れているユーザーにとって、ゲームのルールを大きく変えるものだ。
影響を受けるiOSバージョンとグローバル展開
ダークソードの最初の波は主に iOS 18を搭載したiPhoneGoogle、Lookout、iVerifyからのレポートは一貫して、バージョンが iOS 18.4とiOS 18.6.2 検出されたキャンペーンの中で最も明らかに侵害されているのは、この脆弱性です。一部の分析では、iOS 18.7.2で部分的な修正が行われたと指摘されていますが、iOS 26以降で脆弱性が完全に解消されたとする分析もあります。
いずれにせよ、データが描き出す状況は明確だ。 非常に多くのデバイスが依然としてiOS 18で動作している。これは、ユーザーが最新バージョンにアップグレードしていないか、インターフェースの変更を避けたいと考えているかのいずれかが原因です。この状況は、紛争地域にいるユーザーだけでなく、銀行取引、デジタル認証、電子署名などにiPhoneを日常的に使用している欧州連合やスペインの何百万人もの人々にも影響を与えています。
研究者たちは、少なくとも 2025年後半最初の発見はウクライナの領域で行われたが、[特定されていない]の標的に対する攻撃キャンペーンがすぐに検出された。 サウジアラビア、トルキエ、マレーシアこれらの事例のいくつかでは、脆弱性を悪用する行為は、ニュースポータルや行政機関のサイトといった正規のウェブサイトに埋め込まれており、それらのサイトの評判の良さを利用して発覚を免れていた。
ヨーロッパでは、リスクはより間接的ではあるものの、その重要性は変わりません。ヨーロッパ以外の地域でホストされている侵害されたページにアクセスしたり、国際ネットワーク経由で接続したりするユーザーは、悪意のあるコードをダウンロードしてしまう可能性があります。さらに、DarkSwordが再利用可能なキットであるという事実は、最終的に[不明瞭/不明瞭]に組み込まれる可能性を高めます。 より広範なサイバー犯罪キャンペーンこれには、欧州市民が利用するオンライン銀行口座や仮想通貨ウォレットを盗むことを目的とした攻撃も含まれる。
ダークソードの背後にいるのは誰なのか?そして、彼らとコルーナの関係は?
DarkSwordの影響を理解する上で重要なのは、その背景です。今月初め、同じGoogleとiVerifyのチームが、DarkSwordとして知られる別の高度な攻撃キットを公開しました。 ア・コルーニャ23個の連鎖した脆弱性により、iOS 13からiOS 17.2.1までのiPhoneを侵害する可能性がある。 同じサーバーインフラストラクチャ上これは、共通の情報源、あるいは少なくとも複数の関係者間の協力関係を示唆している。
この兵器庫の一部は、政府機関向けのエクスプロイト市場に由来すると考えられている。過去の調査では、防衛請負業者L3Harrisに所属するTrenchant部門の元メンバーの事例が挙げられており、彼は ロシアの仲介業者に一連の脆弱性を売却した 「オペレーション・ゼロ」として知られる作戦。そこから、搾取の連鎖は国家の手から、より悪質な犯罪組織へと移っていった。
DarkSwordの場合、Googleは、 商用監視プロバイダー また、国家情報機関と関係があるとされるハッカー集団による攻撃も含まれている。これらの攻撃キャンペーンの一つには、トルコの民間監視会社であるPARS Defenseが関与しており、トルコとマレーシアの拠点を標的とした攻撃が行われている。
ロシアとの関連も存在する。コードの一部は 侵害されたウクライナのサイト研究者らは、ロシアの利害関係者とつながりのある工作員が、政治的スパイ活動と金銭的利益を両立させるために、この脆弱性を悪用したと述べている。最も注目すべき点は、DarkSwordのコードが一部のサーバーで確認されたことだ。 難読化なし、英語での説明コメント付きこれにより、他の悪意のある攻撃者がそれをコピーしたり、改変したり、新たなキャンペーンを開始したりすることが容易になる。
CorunaとDarkSwordがほぼ同時にリリースされたことは、iOS侵入ツール市場がいかに変化しているかを示している。かつては特定の目標に対する標的作戦のために用意されていた「スナイパー武器」は、今や 大量使用兵器庫その潜在的な影響力は、外交や軍事の枠をはるかに超える可能性がある。
DarkSwordはiPhoneからどのような情報を盗み出すことができるのか?
技術レポートによると、DarkSwordは非常に広範囲の機密データを抽出する能力を持っている。侵入が完了すると、ポストエクスプロイトモジュールはデータにアクセスできる。 保存されたパスワード、認証トークン、およびクラウドサービスの認証情報これらには、メールアカウント、ソーシャルメディア、金融サービスへのアクセスなどが含まれる。
通信分野では、キットは収集用に準備されています iMessage、WhatsApp、Telegramからのメッセージとログまた、同じ内部データベースを利用する他のメッセージングアプリケーションも同様です。これにより、過去の会話を再現したり、電話番号や、誰とどれくらいの頻度で会話しているかといったメタデータを取得したりすることが可能になります。
DarkSwordは、デバイスのより個人的な側面、つまり写真、ビデオ、 閲覧履歴、メモ、カレンダー、ヘルスケアアプリのデータこれは単なる抽象的なプライバシー問題ではありません。多くの場合、このデータによって、日々の行動、習慣、おおよその位置情報、さらには健康状態に関する情報までプロファイリングすることが可能になり、これは特に厳格な欧州のデータ保護規制の下では極めて機密性の高い情報となります。
優先目標は 仮想通貨ウォレットおよびその他のデジタル資産このマルウェアは、ウォレット、取引所、金融アプリケーションに関連する認証情報や秘密鍵を特に標的としています。研究者らは、DarkSwordの運営者が不正な暗号通貨ウェブサイトを利用して資金を盗み出し、スパイ活動と金融犯罪を組み合わせたキャンペーンを行っていたことを明らかにしています。
これらすべては比較的短時間で行われます。「ファイルレス」設計により迅速な攻撃が可能になり、スパイウェアは感染後最初の数分で可能な限り多くの情報を収集し、その後… 彼は自分の足跡の大部分をきれいにしたこれにより、ユーザーがスマートフォンの動作に異常に気づく可能性が低くなります。
保護対策:最新情報、隔離モード、およびベストプラクティス
このような規模の攻撃に直面した場合、主な防御策は、単純に聞こえるかもしれませんが、 iPhoneを常に最新の状態に保ってください。Appleは、根本的な脆弱性を複数回に分けて修正してきた。まずiOS 18向けの特定のセキュリティアップデートを提供し、次にiOS 18.7.2のようなパッチを適用し、そして最後に、より新しいiOS 26シリーズでその欠陥を解消した。
実際には、スペインまたはヨーロッパの他の地域のユーザーに対する推奨事項は、アクセスすることです。 [設定]> [一般]> [ソフトウェアの更新] また、デバイスがそのモデルで利用可能な最新バージョンを実行していることを確認してください。iPhoneをiOS 26にアップデートできる場合は、できるだけ早くアップデートすることをお勧めします。iOS 18を実行しているデバイスの場合は、Appleがリリースしたすべてのセキュリティパッチをインストールすることが不可欠です。
もう一つの関連する防御層は ロックダウンモードこのモードは、当初はジャーナリスト、活動家、公務員といった高リスクユーザー向けに設計されたものですが、DarkSwordやCorunaが使用するような悪用ネットワークを阻止、あるいは少なくとも大幅に妨害するのに効果的であることが証明されています。実際、これらのキットの中には、デバイスがこのモードになっていることを検知すると、捜査に役立つ痕跡を残さないように、侵入を中止するものも存在します。
アップデートや高度な機能以外にも、依然として有効なベストプラクティスがいくつかあります。ただし、この特定のキャンペーンでは 怪しいリンクをクリックする必要はありません 感染を防ぐためには、信頼できるウェブサイトのみにアクセスし、暗号化されていない公共Wi-Fiネットワークを避け、システムのプライバシーとセキュリティ設定を定期的に見直すなどして、情報への接触を制限することが推奨されます。
大量の機密データやデジタル資産を扱うユーザーにとっては、 専用の監視ツール 例えば、モバイルセキュリティ分野の企業が提供するようなソリューションが挙げられます。これらは魔法のような解決策ではありません(特に、このような巧妙な攻撃に対しては)。しかし、異常な動作や脆弱な設定を検出するのに役立ちます。
DarkSwordの事件は、ヨーロッパの多くのiPhoneユーザーにとって、初期設定のセキュリティが万全ではないことを改めて認識させるきっかけにもなった。iOSは依然として最も堅牢なモバイルプラットフォームの一つだが、 国家レベルの脅威と高額予算の搾取市場 それらは極めて高度なレベルに達しつつあり、細心の注意を払い、セキュリティアップデートを非常に真剣に受け止める必要がある。
