米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「DarkSword」iOSエクスプロイトチェーンと呼ばれる高度なアタックシーケンスの一部として、野生下で積極的に悪用されている3つの重大なApple脆弱性について緊急警告を発令しました。
DarkSwordチェーンは、iOS、iPadOS、macOS、watchOS、tvOS、visionOSを含むAppleのエコシステム全体にわたるデバイスの完全な侵害を実現するように設計された多段階アタックです。
セキュリティ研究者は、このアタックがコアシステムコンポーネントをターゲットにしており、最小限のユーザー操作を必要とするため、特に危険であると指摘しています。
アタックは通常、被害者がSafariまたはアプリ内ブラウザを通じて悪意のあるまたは侵害されたウェブサイトにアクセスしたときに始まります。
これにより、不正なメモリ処理(CWE-119)に関連するメモリ破損脆弱性であるCVE-2025-31277がトリガーされます。
この欠陥を悪用することで、攻撃者はダウンロードや明示的なユーザー同意を必要とせずにデバイス上で初期コード実行を取得できます。
初期アクセスが確立されると、攻撃者はCVE-2025-43520を利用した第2段階ペイロードをデプロイします。これは古典的なバッファオーバーフロー脆弱性(CWE-120)です。
この欠陥により、悪意のあるアプリケーションがカーネルメモリに直接書き込むことが可能になり、システムクラッシュを引き起こしたり、より深いシステム侵害を実現したりする可能性があります。
カーネルをターゲットにすることで、攻撃者は標準的なセキュリティコントロールをバイパスし、特権をエスカレーションできます。
チェーンの最終段階はCVE-2025-43510に関連しており、これは不適切なロック問題(CWE-667)です。この脆弱性により、攻撃者はプロセス間の共有メモリを操作でき、実質的にアクセスを安定化させ、デバイスに対する永続的な制御を維持できます。
この時点で、攻撃者はアクティビティの監視、コマンド実行、追加ペイロードのデプロイなど、システムのほぼ完全な制御を得られます。
DarkSwordチェーンの最も懸念される側面の1つは、その隠蔽性と単純性です。初期感染ベクトルが悪意のあるウェブコンテンツに依存しているため、ユーザーは細工されたリンクをクリックしたり、侵害されたサイトにアクセスしたりするだけで侵害される可能性があります。
アプリのインストールや目に見える指標は必要ないため、成功した悪用の可能性が大幅に高まります。
これらの脆弱性をランサムウェアキャンペーンにリンクする確認済みの証拠はありませんが、提供されるアクセスのレベル、特にカーネルレベルでのアクセスは、高度な永続的脅威(APT)グループにとって非常に魅力的です。
このようなアクターはチェーンを長期的な監視、データ流出、またはターゲット型スパイ活動に使用する可能性があります。
脅威の深刻さを考慮して、CISAは拘束力のある運用指令(BOD)22-01の下で迅速な対応を要求しています。
米国の連邦機関はすべて、2026年4月3日までに関連するAppleセキュリティ更新プログラムを適用することが要求されています。同庁はまた、民間組織および個別ユーザーに対してパッチの適用を直ちに優先するよう強く促しています。
セキュリティチームは、すべてのAppleデバイスが利用可能な最新ソフトウェアバージョンに更新されていることを確認するよう勧告されています。
パッチを適用できない環境では、潜在的な侵害を防ぐためにCISAは影響を受けたシステムの使用を中止することを推奨しています。
これらの脆弱性の広範な影響と積極的な悪用は、特に攻撃者がAppleなどの信頼できるプラットフォームをターゲットにした多段階エクスプロイトチェーンを改良し続けるにつれて、タイムリーなパッチ管理とユーザー認識の重要性を強調しています。
翻訳元: https://cyberpress.org/apple-flaws-darksword-ios-attack-chain/