出典:JENYA via Alamy Stock Photo
遅延の後、AppleはDarkSwordエクスプロイトチェーンに関連する脆弱性を、iOS 26にアップデートしていない顧客も含め、すべての影響を受けた顧客にパッチを適用しました。これは新しいバージョンにユーザーを一度にアップデートしたい組織や、そのようなアップデートを禁止するパッチ管理ポリシーを持つ組織にとって朗報です。
Appleデバイスで十分に深刻な脆弱性が発見されると、Appleは最新のオペレーティングシステム(OS)を実行しているユーザーと、そのような新しいOSを実行できないほど古いデバイスを持つユーザーの両方にパッチを提供するのに十分な対応をしています。例えば昨年、研究者がCorunaと呼ばれる米国政府レベルのエクスプロイトキットを発見しました。これはiOSバージョン13〜17.2.1にわたる23の脆弱性で構成される5つの異なるエクスプロイトチェーンを備えていました。Appleはそれらすべての影響を受けた人たちに遡ってパッチを配布しました。これには、電話をアップデートできない人たちも含まれます。
しかし、通常、パッチ配布から除外されているグループが1つあります。最新のOSにアップグレードする能力があるものの、選択的に、または強制的にアップデートしていない顧客です。例えば、多くのiPhoneユーザーはiOS 18からiOS 26へのアップグレード(これらの番号にもかかわらず、連続したバージョンです)への移行を、ユーザーエクスペリエンス(UX)の変更のために抵抗しています。他の人たちは、会社の方針でパッチサイクルから1つ遅れたバージョンを強制される仕事用電話を持っています。このグループはAppleがiOS 26で最初にDarkSwordエクスプロイトチェーンを修正した時も、3月24日にiOS 26にアップデートできないiOS 18より前のデバイスに修正をプッシュした時も、パッチの対象から除外されていました。iOS 18の愛好家はアップグレードするか、自分たちが好むものにこだわってセキュリティを犠牲にするかを選択することができました。
しかし、その立場は約1週間しか続きませんでした。DarkSwordは3月22日にGitHubにリークされ、サイバー犯罪者全員がそのような強力なハッキングツールを入手できるようになると、Appleは譲歩し、修正を4月1日に、そのような頑固またはしょうがないiOS 18ユーザーに拡張しました。
Lookoutの主任研究者Justin Albrecht氏は、この対応を称賛しています。実際に彼は、「Appleはバックポートされたパッチ、脆弱デバイスへのアラート通知、Webベースの攻撃に関する公開された脅威ガイダンスを含む、DarkSwordとCorunaに対抗するための複数の前例のないステップをiOSで取りました。これはDarkSwordのようなマルウェアが構成する脅威のレベルについて述べており、Appleがこれほど真剣に取り組んでいるのであれば、ユーザーも同様にすべきです」とコメントしています。
DarkSwordの重大性がAppleを追い詰めた
ある意味では、DarkSword問題の深刻さは、Corunaキットが同じ月の初めに公開されたことによって影が薄れていました。
Corunaは壊滅的で、危険な脅威行為者によって利用されており、それがもともと米国の軍事請負業者によって開発されたという証拠がありました。「これはSMS経由でコマンドアンドコントロール(C2)を実行できるため、連絡先リストから連絡先を取得し、リンク付きのテキストメッセージをブラストアウトするための1つの変更を加えるだけで、トロイの木馬なマルウェアになります」とiVerifyの共同創設者Rocky Cole氏は説明しています。「だからこそ彼らはそんなに速く動いたと思うのです。それはAppleがiPhone上で本当に見たことのある最も壊滅的なエンドポイント攻撃に最も近いものでした。」
DarkSwordはCorunaの2週間後に公開され、その時点ではCorunaストーリーの延長として主に報道されていました。しかし彼の見方では、DarkSwordは決して脇役であるべきではありませんでした。
「ある意味では、デバイスをrootさせなかったため、より悪質です」と彼は説明しています。「Corunaはrootしました。ですから、おそらく、ルート検出を実行していたのであれば、Corunaを見かけるチャンスがあったはずです。しかしDarkSwordはrootしないため、プロセスの特権を継承するだけです。Ring 0アクセスも持つプロセッサにアクセスするのに十分な特権昇格だけを取得します。その点で、実は検出がはるかに難しいと思います。」
彼は続けて言います:「iOS 17(Corunaの影響を受けた最新バージョン)よりもiOS 18を使用している人が大幅に多いという事実と、バックポートされたパッチが利用可能でないうちにGitHubに公開されたという事実を組み合わせると、それは危機であり、より迅速な行動を期待していただろう」と述べています。
DarkSwordは既に監視ウェア顧客によって回回されていましたが、特にそれがオンラインでリークされて以来、Lookoutのアルブレヒト氏は「大西洋評議会になりすましたTA446によって行われたメールフィッシングキャンペーンを含む、マルウェアで実施されている一握りのキャンペーンを観測しました。観測された他のキャンペーンは、特定のグループにリンクすることができなかった帰属不明の犯罪キャンペーンであり、不明な目的のためのマルウェアの複数インスタンスのテストも見られます」と報告しています。
サイバーリスクストーリーは(今のところ)終了
ColeはエンタープライズのリスクとしてのDarkSwordアップデートのAppleの処理を見ています。「これらの脆弱性がインターネットに公開されてGitHubに投稿されてからパッチが発行されるまでの間に、かなり大きなギャップがありました」と彼は言います。
彼は、多くのiPhoneユーザーが個人的な好みのためにOSをアップグレードしないことを選択する一方で、多くの人々が企業ポリシーのために遅れを取らざるを得ないことを指摘するのに迅速です。彼らにとって、Appleがすべてのデバイスをすべての場所にパッチする抵抗は避けられない負担です。
「あなたがビジネスユーザーで、IT部門がn-minus-oneパッチング周期と呼ばれるものを使用する必要があると言っているとしましょう。これは1つ前のバージョンであるバージョンしか使用できないということを意味します。その場合、あなたは何をすべきですか?」と彼は言います。「パッチがすべてのバージョンにバックポートされていない場合、どのようにして自分自身を守ることができますか?私にとって、これはパッチのみの戦略が今後十分であるという概念に根本的に異議を唱えています」と彼は主張しています。
この時点で、Appleデバイスをアップデートすることが可能で喜んでいるすべてのユーザーは、DarkSwordとCorunaの両方から明確になりますが、次のことは確実にどこか別の場所で勃発しています。「Dark Swordとを一緒に示していることは、n日のiOSエクスプロイトキットの市場が爆発しているということです」とColeは警告しています。「価格は本当に急速に下がっており、DarkSwordとCorunaは現在完全にパッチされていますが、それはこれ以上のキットがどこに存在し、次は何になるのかという質問を提起します」
翻訳元: https://www.darkreading.com/endpoint-security/apple-patches-darksword-ios-18
