iPhone狙う強力エクスプロイト「DarkSword」 ウクライナ等のWebサイトが標的に

Google、iVerify、Lookoutの研究者は、iPhoneを標的とした強力なエクスプロイト「DarkSword」を確認した。ウクライナ等の正規Webサイトを改ざんする水飲み場型攻撃で、脆弱なiOS端末から個人情報や暗号資産データを短時間で窃取する。ロシアの関与が疑われており、最新のOSへのアップデートや旧式端末の排除が強く推奨されている。

[ITmedia]

　米AppleのiPhoneから侵入して情報を盗み出す強力なエクスプロイトが、ウクライナの複数のWebサイトに仕掛けられていたと、米Googleや米iVerify、米Lookoutの研究者らが3月18日（米太平洋時間）に発表した。このエクスプロイトチェーンは「DarkSword」と名付けられており、攻撃者は政府機関やニュースサイトなど正規のWebサイトを改ざんして、悪意のある見えないiframeを埋め込む「水飲み場型攻撃」の手法を用いている。

　ユーザーが脆弱なiOSを搭載したiPhoneで改ざんされたWebサイトにアクセスすると、Safariの脆弱性などを突かれてバックグラウンドで端末が侵害される仕組みになっており、ユーザーの操作を必要としない実質的なゼロクリック攻撃となっている。

　ウクライナでの攻撃を仕掛けたのは、「UNC6353」と呼ばれるロシアの関与が疑われる脅威アクターとされている。このグループは、数日前に報告されたiPhoneを狙うハッキングツール群「Coruna」も、ウクライナのユーザーに対する攻撃に悪用していたとされている。

　またGoogleの調査によると、DarkSwordはウクライナだけでなく、サウジアラビア、トルコ、マレーシアなどでも、商業監視ベンダーを含む複数の異なる脅威アクターによって利用されていることが確認された。

　攻撃の主な狙いは、端末内のパスワードやメッセージ履歴、写真などの個人情報に加え、多数の暗号資産ウォレットのデータを盗み出すことにあると推測されている。数分から数秒という短時間で目的のデータを窃取した後は、自ら作成したファイルを削除して痕跡を消去する「ヒットアンドラン」のアプローチをとっており、ロシアの諜報活動と金銭的利益の両方を目的としているとみられる。

　DarkSwordは主にiOSのバージョン18.4〜18.6.2までを搭載した端末を標的としているが、悪用された複数の脆弱性はすでにAppleによる最近のセキュリティパッチで修正されている。研究者らは、すべてのiPhoneユーザーに対し、被害を防ぐためにデバイスを最新のiOSバージョン（iOS 18.7.3以降、またはiOS 26.3以降）に速やかにアップデートすることを強く推奨しており、あわせて古いOSのままの端末の組織からの排除と、サポートが終了した端末の買い替えを呼びかけている。

DarkSwordの観測結果と脆弱性パッチの経緯（画像：Google）