たった一つのiOSエクスプロイトチェーンが流出し、それが商用スパイウェア業者から国家支援型ハッカーまで、あらゆるプレイヤーの手に渡ったらどうなるか?
Google Threat Intelligence Groupの最新レポート「DarkSword」が、その実態を暴いている。6つのゼロデイ脆弱性を連鎖させたこの強力なエクスプロイトは、iOS 18.4から18.7を実行しているiPhoneを侵害してきた。2025年11月以降、サウジアラビア、トルコ、マレーシア、ウクライナなどの標的を狙ったキャンペーンで確認されており、しかもこれは一匹狼の仕業ではない。ロシアの諜報グループとされる組織から、匿名の監視サービス業者まで、複数のプレイヤーがこのエクスプロイトを自分たちの汚い仕事のためにカスタマイズしているのだ。
DarkSwordの拡散をGoogleはどう見抜いたか?
発見は2025年末。GTIG(Google Threat Intelligence Group)は、回収されたペイロードの痕跡をたどり、犯人を突き止めた。11月まで遡り、特徴的なキャンペーンを確認。まさにデジタル鑑識と疫学の融合だ。同じエクスプロイトのDNAを持ちながら、オペレーターが異なるというわけである。
GTIGは脆弱性を速やかにAppleに報告し、iOS 26.3で全て修正された(それ以前のバージョンも多数)。ドメインはSafe Browsingでブラックリスト化。古いバージョンを使わざるを得ないなら、ロックダウンモードを有効にするのが賢明だろう。
これは孤立した事案ではない。DarkSwordは、かつてUNC6353――ロシアのハッカー集団と目されている――が好んで使っていた「Coruna」iOSキットを彷彿とさせる。彼らは今、ダークソードに乗り換え、ウォーターホール攻撃に利用している。こうした拡散は、エクスプロイトの市場が存在し、コードがレンタルされ、改変され、再利用されていることを示唆している。
「GTIGは、複数のゼロデイ脆弱性を利用してデバイスを完全に侵害する、新たなiOSフルチェーンエクスプロイトを特定しました。回収されたペイロードのツールマークに基づくと、このエクスプロイトチェーンはDarkSwordと呼ばれていると推測しています。」
これはGTIGの簡潔かつ的確な冒頭文――レポートからそのまま引用したもので、このチェーンの高度さを示している。
サウジアラビアにおけるUNC6748のスナップチャット詐欺
2025年11月初旬。スナップチャットを装った「snapshare[.]chat」というサイトが、サウジのユーザーを誘い込んだ。JavaScriptの難読化がその悪意を隠蔽し、セッションキーを設定して繰り返し攻撃を回避し、frame.html のためのiFrameを起動する。
そこで呼び出されたのが、真のエンジンであるrce_loader.js。XMLHttpRequest経由でリモートコード実行(RCE)ペイロードを取得する。UNC6748は迅速に進化。当初は、CVE-2025-31277(JavaScriptCoreのメモリ破壊)とCVE-2026-20700(dyldにおけるPACバイパス)を標的とする2つの脆弱性を利用。数日後には、CVE-2025-43529を追加し、iOS 18.6への対応を強化した。
しかし、多くのグリッチも存在した。ロジックの誤りにより、iOS 18.4のエクスプロイトは18.6非対応デバイスで誤作動し、9月にリリースされた18.7を完全に無視していた。Chromeユーザーは? x-safari-https経由でSafariに強制的にリダイレクト。正規のスナップチャットサイトにリダイレクトすることで、その偽装を隠蔽。デバッグ防止トリックが、詮索から保護していた。
11月を通じて活動は活発化し、検知を回避するための微調整が行われた。古典的な猫とネズミのゲームだ。
最終的なペイロード:GHOSTBLADE、GHOSTKNIFE、GHOSTSABER
DarkSwordはRCEで終わらない。侵害後、3つのマルウェアファミリーを展開する。
GHOSTBLADEはステルスで持続し、データを漏洩させる。GHOSTKNIFEはキーロギングやスクリーンショット撮影機能を強化。GHOSTSABER――まさに重武装――はコマンド&コントロール(C2)や、さらにはラテラルムーブメント(横展開)まで担当する。それぞれがカスタマイズされているが、エクスプロイトのルーツは共通だ。
GTIGはLookoutやiVerifyと協力してこれらを分析した。元のレポートにコードブロックは含まれていないが、そのアーキテクチャはモジュラー設計を強く示唆――攻撃者が自分たちの「オモチャ」を容易に追加できるのだ。
なぜDarkSwordの拡散がiPhoneセキュリティにとって重要なのか?
短い答えはこうだ。これはハイエンド攻撃を民主化する。かつて、ゼロクリックチェーンは国家レベルの専有物だった――Pegasusを思い浮かべてほしい。それが今や? 商用ベンダーがそれを売り、国家がそれを借りている。DarkSwordのツールキット風(Corunaのように)なアプローチは、より速い進化と、より広い網を意味する。
ここでThreat Digestならではの視点だ。これは、マルウェアの歴史における「Stuxnet」の転換点と似ている。2010年、Stuxnetは米・イスラエル起源から流出し、DuquやFlameを生み出した――技術を金のある者に広めたのだ。DarkSwordも、モバイルゼロデイにおいて同様の役割を果たす可能性があり、諜報市場に溢れかえるだろう。大胆な予測だが、2027年までには、非国家主体がDarkSwordのフォーク(派生版)を使い、予想外の場所で活動家を攻撃するのを目にするだろう。Appleのパッチは役立つが、もはや後戻りはできない――急速な変異を覚悟すべきだ。
企業側の言い分? ベンダーはこの件でツールを調達したとは認めないだろうし、国家は全面的に否定する。GTIGは「商用監視」というレッテルに疑問を呈している。これはNSOのような傭兵企業への丁寧な言及だが、ロシアのUNC6353との重複は、ハイブリッド脅威の存在を強く示唆している。
次は誰か? タイムラインとパッチ
GTIGのタイムライン(彼らの投稿の図1)は、観察結果とAppleの修正状況をマッピングしている。ほとんどの脆弱性は早期に修正されたが、26.3でも残存があった。他の攻撃者も潜んでいる可能性が高い――GTIGは未報告のユーザーも示唆している。
標的は、専制国家や紛争地域に及ぶ:サウジアラビア(王族?)、トルコ(反体制派?)、マレーシア・ウクライナ(地政学?)。ウォーターホール――侵害された正規サイト――が、そのリーチを拡大している。
印象的な統計:1つのチェーンに6つのゼロデイ。これはWebKit RCE、カーネルホップ、サンドボックスエスケープ――iOSの多層防御を悪用する、建築的な妙技だ。
DarkSwordは新世代のCoruna 2.0か?
瓜二つだ。どちらも複数の攻撃者が関与し、iOSに焦点を当てたキットである。CorunaはUNC6353の活動を容易にし、DarkSwordはまさにその役割を引き継ぐ。違いは? DarkSwordはiOS 18.xの広範囲をカバーし、6つの脆弱性に対しCorunaはより絞られたセットだった。
なぜシフトしたのか? パッチがCorunaを葬り去り、DarkSwordは新鮮だからだ。しかし、拡散のリスクは「燃え尽き」――過剰な使用はリバースエンジニアリングを招く、GTIGが証明しているように。
アーキテクチャ上の特徴:モジュラーローダー(rce_module.js、workerバリアント)により、攻撃者はコアコードを書き直すことなく脆弱性を入れ替えられる。これが「方法」――プラグアンドプレイのゼロデイ。そして「なぜ」か? 敵対的競争下での、標的への迅速な到達、低い開発コストだ。
アップデートせよ。ロックダウンモードを有効にせよ。繰り返せ。
🧬 関連インサイト
- もっと読む: 36個の偽装npm StrapiプラグインがRedisとPostgresのバックドアを開発パイプラインに忍び込ませる
- もっと読む: 14,000ものF5 BIG-IPがRCEの悪夢に開かれたまま
よくある質問
DarkSword iOSエクスプロイトチェーンとは何か? Googleが特定した、6つのゼロデイを利用してiOS 18.4-18.7を脱獄し、GHOSTBLADEのようなマルウェアを展開するフルチェーンエクスプロイト。iOS 26.3で修正された。
どの攻撃者がDarkSwordを使用しているか? UNC6748(サウジ標的)、UNC6353(ロシア関連)、および商用ベンダー。サウジアラビア、トルコ、マレーシア、ウクライナでキャンペーンが確認されている。
DarkSwordからどう身を守るか? 最新のiOSに直ちにアップデートする。ロックダウンモードを有効にする。不審なリンク、特にスナップチャットの誘い文句には注意する。
