Googleは2026年3月19日、iPhoneを標的とする新たなエクスプロイトチェーン「DarkSword」について報告した。
DarkSwordは少なくとも2025年11月から使用されており、iOS 18.4から18.7に対応している。6つの脆弱性を悪用して、GHOSTBLADE、GHOSTKNIFE、GHOSTSABERの3種類の最終ペイロードを展開する。
Google、iVerify、Lookoutの共同調査により、UNC6748、PARS Defense、UNC6353の3つの脅威アクターによる悪用が確認された。標的はサウジアラビア、トルコ、マレーシア、ウクライナのユーザーで、メッセージ、位置情報履歴、暗号資産ウォレットデータなどが窃取される。
From: 
State snoops and spyware vendors planting info-stealing malware on iPhones, Google warns
【編集部解説】
今回のDarkSword報告が示す最大の意義は、「iPhoneは安全」という常識への、静かだが根本的な問い直しです。Appleのセキュリティアーキテクチャは世界最高水準のひとつとして評価されてきましたが、DarkSwordはそのiPhoneを、改ざんされた正規ウェブサイトを閲覧するだけで完全侵害し得る手法を実現しています。
技術的な核心を平易に説明すると、DarkSwordは6段階の脆弱性を連鎖させる「チェーン攻撃」です。まずSafariのJavaScriptエンジン(JavaScriptCore)に潜む脆弱性を悪用してブラウザ内で任意コード実行を実現し、次にAppleの保護機構PAC(ポインタ認証コード)を回避し、GPU関連コンポーネントの脆弱性を悪用してサンドボックスを脱出し、最終的にiOSのカーネル権限を掌握します。ブラウザ経由でJavaScriptベースのローダーやペイロードを多用しつつ、JavaScriptCoreやdyld、ANGLE、XNUカーネルなど複数層の脆弱性を連鎖させる点が特徴です。
注目すべきは、このエクスプロイトチェーンが複数の商業的監視ベンダーや国家支援が疑われる一部アクターに採用・転用されていることです。国家関与が疑われるスパイ組織UNC6353と、商業的監視ベンダーPARS Defense、そして別の脅威クラスターUNC6748が、それぞれ独自の標的に向けて同じコア技術を転用しています。かつて国家レベルで用いられてきた高度な攻撃能力が、商業的監視ベンダーにも利用・転用されている実態を、今回の事案は改めて浮き彫りにしています。
iVerifyの推計では、iOS 18.4から18.6.2を使用しているユーザーの14.2%、約2億2,152万台のデバイスが潜在的な影響を受けると見られています。iOS 18全体まで範囲を広げると、17.3%、約2億7,000万台に上る可能性があるとされています。これは改ざんされた正規サイトを足がかりにするウォータリングホール型の攻撃で、特定条件に合致したユーザーが狙われるため、個別標的型と広域配信型の性格を併せ持っています。
一方、研究者たちが指摘するように、このエクスプロイトキットには運用上の不備が複数見られました。コードは難読化されておらず、ロシア語のコメントが残されており、開発者のデバッグ用関数もそのまま埋め込まれていました。こうした「作りの粗さ」が発見の糸口となったという事実は、攻撃側にとっての教訓となり、今後は同種のキットがより巧妙に隠蔽されて登場することを示唆しています。
規制という観点では、Googleは今回の報告書の中で「Pall Mall Process」への参加に言及しています。これはスパイウェアの拡散と濫用を国際的に規制しようとする枠組みで、英国とフランスが主導し複数国が参加する取り組みです。しかし、今回のPARS Defenseのようなトルコの民間監視ベンダーがこれほど容易に高度な攻撃能力を利用できている現実は、規制の実効性に疑問符を投げかけます。
ユーザーが今すぐ取れる対策として、iVerifyはiOS 18.7.6またはiOS 26.3.1へのアップデートを強く推奨しています。また、アップデートが困難な状況では「ロックダウンモード」の有効化が有効です。さらにiVerifyによれば、iPhone 17でMIEが有効な環境では、追加の回避手法がない限りDarkSwordは有効に機能しないとされています。
【用語解説】
エクスプロイトキット
ソフトウェアの脆弱性を悪用するための攻撃ツール群をパッケージ化したもの。複数の攻撃手法をひとつのフレームワークに統合し、技術力の低い攻撃者でも高度な攻撃を実行できるようにする。
ウォータリングホール攻撃
特定の標的が頻繁に訪れる正規のウェブサイトを改ざんし、そこを訪れたユーザーのうち条件に合致した端末を狙う攻撃手法。
CVE(Common Vulnerabilities and Exposures)
ソフトウェアの脆弱性に対して付与される国際的な識別番号。「CVE-西暦-番号」の形式で表記され、世界中のセキュリティ研究者や企業が共通の識別子として使用する。
JavaScriptCore
AppleのWebKitブラウザエンジンに組み込まれたJavaScript実行エンジン。SafariやiOS上のすべてのブラウザで使用されており、DarkSwordはここに潜む脆弱性を最初の侵入口として利用した。
PAC(Pointer Authentication Codes)
Appleが独自に実装したメモリ保護機構。関数ポインタに暗号的な署名を付与し、不正なメモリ操作によるコード実行を防ぐ。DarkSwordはこの機構をCVE-2026-20700によって回避した。
サンドボックス
アプリケーションが動作する隔離された実行環境。他のプロセスやシステムリソースへのアクセスを制限することでセキュリティを担保する。DarkSwordはWebContent、GPUプロセスと段階的にサンドボックスを脱出していく手順を踏む。
カーネル
OSの中核となるソフトウェアで、ハードウェアとアプリケーションの橋渡しを担う最高権限を持つ層。カーネル権限を掌握された場合、デバイス上のあらゆる操作が攻撃者に可能となる。
GHOSTKNIFE / GHOSTSABER / GHOSTBLADE
DarkSwordの侵害後に展開される3系統のマルウェアの開発コード名。GHOSTKNIFEはサウジアラビア標的の攻撃、GHOSTSABERはPARS Defenseによるトルコ・マレーシア標的の攻撃、GHOSTBLADEはUNC6353によるウクライナ標的の攻撃に使用された。
UNC6353 / UNC6748
Googleの脅威インテリジェンスチームが付与している未分類脅威クラスターの識別コード。「UNC」はUncategorized(未分類)の略で、帰属が確定していない脅威アクターに対して使用される。
Pall Mall Process
スパイウェアの拡散と濫用を国際的に規制するための多国間の取り組み。英国とフランスが主導して立ち上げ、民間の監視能力ツールの開発・販売・使用に関して国際的な規範と枠組みを構築することを目的としている。
Memory Integrity Enforcement(MIE)
iVerifyによれば、iPhone 17で有効化されるメモリ保護機構。追加の回避手法がない限りDarkSwordのような攻撃の成立を難しくする。
【参考リンク】
Google Threat Intelligence(外部)
GoogleのクラウドセキュリティチームによるAPTおよび新興マルウェアの調査・分析レポートを公開。DarkSwordの一次情報源。
iVerify(外部)
モバイルデバイス向けセキュリティ検出・監視プラットフォームを提供。DarkSwordの感染を実機で再現・検証し技術詳細を公開した企業。
Lookout(外部)
モバイルセキュリティに特化した企業。今回のDarkSword調査においてGoogleおよびiVerifyと協調して分析結果を公開した。
Apple セキュリティアップデート情報(外部)
Appleが公式公開しているセキュリティアップデートのリリースノート。DarkSword関連脆弱性のパッチ情報を確認できる。
Apple ロックダウンモードについて(外部)
Appleが提供するロックダウンモードの公式解説ページ。DarkSwordのような高度なエクスプロイトへの耐性が向上するとされている。
【参考記事】
The Proliferation of DarkSword: iOS Exploit Chain Adopted by Multiple Threat Actors(外部)
Google Threat Intelligence Groupによる一次調査報告。3つの脅威アクターの詳細、マルウェアの技術分析、6つの脆弱性の解説、IOCおよびYARAルールを網羅する。
Inside DarkSword: A New iOS Exploit Kit Delivered Via Compromised Legitimate Websites(外部)
iVerifyによる技術詳細レポート。iOS 18.4〜18.6.2が14.2%(約2億2,152万台)、iOS 18全体では17.3%(約2億7,000万台)という推計数値を提示。実機での感染再現実験の手順も詳述。
DarkSword iOS Exploit Kit — Lookout Threat Intelligence(外部)
Lookoutによる脅威分析レポート。DarkSwordとCorunaが金銭的窃取とスパイ活動の両方に使用可能である点、UNC6353の動機・資金力・技術水準の評価を提示。
【編集部後記】
iPhoneを「信頼できる道具」として毎日持ち歩いている私たちにとって、今回の報告は他人事ではありません。
皆さんのデバイスは今、最新のiOSを使っていますか? DarkSwordの存在を知ったとき、テクノロジーへの信頼とセキュリティの現実のあいだで、何を感じましたか。ぜひ、ご自身の言葉で聞かせてください。
