Googleの研究者たちは、DarkSwordという名前のiOSエクスプロイトチェーンを特定しました。このエクスプロイトチェーンは昨年末以来、複数の攻撃者により、標的型攻撃でiPhoneをマルウェアに感染させるために使用されています。
DarkSwordはiOSおよびSafariの6つの脆弱性を組み合わせて、デバイスにマルウェアをデプロイします。これは、アップデートを常に最新に保つことがいかに重要かを再度示しています。
このエクスプロイトはiOS 18.4から18.7を実行しているiPhoneに対して機能し、単に脆弱なデバイスで悪意のあるまたは侵害されたウェブサイトにアクセスするだけで感染する可能性があります(ドライブバイ攻撃)。
研究者たちは、複数のグループがこのツールを使用して自分たちの優先ターゲットを攻撃していることを発見しました。DarkSwordは商用スパイウェアベンダーと国家支援の攻撃者の両方によって使用されており、キャンペーンはサウジアラビア、トルコ、マレーシア、ウクライナで観測されています。
サウジアラビアでは、攻撃者は偽のSnapchatそっくりを使用していました。ウクライナでは、攻撃者は少なくとも2つのウクライナのウェブサイト(政府サイトを含む)を侵害しました。
エクスプロイトが成功すると、マルウェアがデバイスで実行されます。マルウェアのタイプは攻撃者によって異なります。ウクライナのキャンペーンでは、そのマルウェアはGhostbladeとして知られており、DarkSwordエクスプロイトチェーン経由で配信されるペイロードの一例です。
Ghostbladeはデータを盗むJavaScriptベースのツールで、一意のデバイス識別子、SMSおよびiMessageメッセージ、通話履歴、連絡先、Wi-Fi設定とパスワード、Safariのクッキーと閲覧履歴、位置情報、メモ、カレンダーエントリ、健康データ、写真、iCloud Driveファイル、SIM情報、メール、インストール済みアプリのリスト、保存されたパスワード、およびTelegramとWhatsAppのメッセージ履歴を流出させます。
これ以上に、Ghostbladeが際立っているのは、暗号通貨関連データもターゲットにしていることです。大手取引所(Coinbase、Binance、Kraken、Kucoin、OKX、Mexc)とウォレットアプリ(Ledger、Trezor、Metamask、Exodus、Uniswap、Phantom、Gnosis Safe)用のアプリを積極的に探します。研究者たちは、Ghostbladeは長期的な監視用には構築されていないことに注意しています。データを収集した後、一時ファイルを削除して自身を終了します。
リスク
脆弱なデバイスは、その1つの悪意のあるまたは侵害されたウェブサイトにアクセスするだけで感染する可能性があります。そして、その結果は重大なものになる可能性があります。DarkSwordは単一のウェブサイトの訪問を完全なデバイスの侵害に変え、その後Ghostbladeが可能な限り多くのデータを一度に流出させます。
- データ盗聴: Ghostbladeおよび関連するペイロードは、通信(SMS、iMessage、Telegram、WhatsApp、メール)、写真、健康データ、位置情報の履歴、Wi-Fiの認証情報、キーチェーンアイテムなど、一度に多くを取得できます。
- 暗号資産の盗聴とプロファイリング: マルウェアは特定の取引所とウォレットアプリを列挙し、これは直接的な盗聴と犯罪者が盗まれた情報を使用して財務的に興味深いターゲットの詳細なプロフィールを構築することを可能にします。
- フォレンジック回避: Ghostbladeがすべての情報を盗んだ後に独自の痕跡を消すため、被害者が何か異常が起こったことに気付くまでに長い時間がかかる可能性があります。多くの被害者は侵害されたことを決して知らないかもしれません。
同じエクスプロイトキットが商用監視企業と国家支援の攻撃者の両方で再利用されているため、キャンペーンと被害者の数は時間とともに増加するでしょう。
対策
デバイスで利用可能な最新のiOSに更新してください。DarkSwordはiOS 18.4から18.7に影響を与える可能性があり、Appleの最近のリリースにはCVE-2026-20700および関連する脆弱性の修正が含まれています。
このような攻撃の潜在的なターゲットである可能性がある理由がある場合(ジャーナリスト、活動家、または機密データへのアクセスを持つ人々)、ロックダウンモードを有効にすることをお勧めします:
- 設定アプリを開きます。
- プライバシーとセキュリティをタップします。
- 下にスクロールして、ロックダウンモードをタップし、ロックダウンモードをオンにするをタップします。
- 提示される情報を読んでロックダウンモードをオンにしてください。をタップします。
- オンにして再起動をタップします。
- プロンプトが表示されたらデバイスのパスコードを入力します。
ロックダウンモードをオンにすることの結果について自分自身に知らせてください。これはデバイスのユーザーフレンドリーさを大幅に低下させますが、証明されている非常に標的化された攻撃に対して効果的です。
ここにいくつかのより一般的なヒントがあります:
- デバイスに最新で、リアルタイムのマルウェア対策保護を使用して、可能な限り悪意のあるウェブサイトをブロックしてください。
- 迷惑メッセージで送信されたリンク、特にSnapchat、暗号取引所、銀行、メールなどのサービスのリンクをクリックしないようにしてください。
- Safariでコンテンツブロッカー(例えばMalwarebytes Browser Guard)を使用して、悪意のあるコンテンツへの露出を減らしてください(ただし、ゼロデイに対する万能な対策ではありません)。
- 高価値の暗号資産をハードウェアウォレットまたは専用デバイスに移動し、モバイルウォレットは小さな額のみで使用してください。
- 強力な認証を備えたパスワードマネージャーを使用し、Face ID/Touch IDなどの追加セキュリティ設定をオンにして、高リスク認証情報の自動入力を避けてください。
- 取引所および金融口座で多要素認証(FIDO2セキュリティキーまたはアプリベース2FA)を有効にして、盗まれたパスワードだけではアカウントを略奪するには十分でないようにしてください。
- 定期的にアプリの権限を確認し、機密データ(位置情報、写真、連絡先、マイク、カメラ、健康)へのアクセスを取り消して、不要な場所で取り消してください。
翻訳元: https://www.malwarebytes.com/blog/mobile/2026/03/a-darksword-hangs-over-unpatched-iphones
