✅この記事では、iPhone向けに見つかった高度な攻撃チェーン「DarkSword」が何をしていたのか、どのiPhoneが影響を受けるのか、そして今すぐ何を確認すべきかを見ます。
いちばん大事なのは、これは古いiPhoneだけの話ではなく、更新を止めていた端末ほど危険が大きいという点です。
- 要点まとめ:見えないまま進む攻撃だった
- DarkSwordは何をしていたのか
- どのiPhoneが危なかったのか
- 抜かれるデータはかなり重い
- なぜ見つけにくいのか
- 注目したいポイント:Appleの修正は速かったのか
- 海外の反応:更新を止める怖さと復元の不安が並んだ
- ひとこと:いちばん刺さったのは“静かさ”でした
- まとめ:まず確認したいのは更新状況です
どうも、となりです。
こういう話、つい「またセキュリティ記事か」で流したくなるんですが、今回は少し重さが違います。Safariでページを開いたあと、画面に何も起きていないように見えても、その裏でデータを抜かれていた可能性があるからです。
しかもDarkSwordは、研究者向けの概念実証ではなく、実際の攻撃で使われたフルチェーンのエクスプロイトとして報告されています。ここはかなり嫌なポイントで、“脆弱性があった”ではなく“もう使われていた”話なんですよね。
要点まとめ:見えないまま進む攻撃だった
Google Threat Intelligence Group、iVerify、Lookoutがそろって報告した内容を見ると、DarkSwordは単体の穴ではなく、Safariから侵入して最終的にカーネル権限まで到達する一連の攻撃チェーンです。しかも複数の国で使われており、手口も標的型から改ざんサイト経由まで広がっていました。
ここで勘違いしたくないのは、一般に言われる「ゼロクリック」とは少し違うことです。今回確認されているのは、悪意あるページや改ざんされたページをSafariで読み込ませる水飲み場型の攻撃で、iVerifyは回収したキットを「1-click exploit kit」と説明しています。
つまり、怪しいアプリを自分で入れたときだけ危ない話ではありません。普段どおりにSafariでページを開いただけでも、未更新の端末なら踏み抜く余地があった、というのが今回の嫌なところです。
報告で前面に出ている運用地域はサウジアラビア、トルコ、マレーシア、ウクライナで、日本国内の個別被害は今回の公開資料では確認できません。ただ、Safariでページを開かせる入口そのものは共通なので、未更新の端末なら日本だけ別ルールになる話でもありません。
- DarkSwordは、6つの脆弱性をつないでiPhoneをフル侵害する攻撃チェーンです。
- GoogleはiOS 18.4〜18.7対応と説明し、iVerifyは自社で回収した構成がiOS 18.4〜18.6.2を狙っていたとしています。
- 侵入口はSafari / WebKitまわりで、改ざんサイトや誘導サイトを開くと感染が始まる水飲み場型の運用が確認されています。
- Appleは関連する脆弱性をiOS 26.1、26.2、26.3で段階的に修正し、Googleは26.3で既知の経路が閉じたと説明しています。
- 再起動でメモリ常駐部分は消える可能性がありますが、抜かれたデータは戻りません。
DarkSwordは何をしていたのか
Googleの分析では、DarkSwordは6つの脆弱性を連鎖させて、最終的にフルカーネル権限まで到達します。内訳としては、JavaScriptCore、dyld、ANGLE、そしてiOSカーネル側の脆弱性が組み合わされていました。JavaScriptCoreはSafariの中でページの動きを計算する部分、dyldはアプリやシステムの部品を読み込む土台、ANGLEは画面表示をGPU向けにつなぐ橋のような部分、と見ると少しつかみやすいです。
仕組みとしては、まずSafariで処理されるWebコンテンツ側から足場を作り、そこからサンドボックスを段階的に抜けて、より権限の強いプロセスへ移っていきます。ぱっと見ではただのページ読み込みでも、裏ではかなり深いところまで降りていく構造です。
もう少しやさしく言うと、玄関はSafariです。そこから家の中の鍵を順番に開けていって、最後はかなり奥まで入られる感じです。普通に使っている画面のまま進むので、気づきにくいのが本当に厄介です。
この流れは、iPhoneを狙ったCoruna攻撃チェーンでも見えていた「Safari起点で権限を広げる」発想と重なります。ただ、今回はGoogleが複数の脅威アクターへの拡散を確認しているぶん、広がり方の不気味さが一段上です。
どのiPhoneが危なかったのか
ここは条件が1つ混ざります。GoogleはDarkSwordがiOS 18.4から18.7をサポートしていたとし、iVerifyは自社で回収したキットについてiOS 18.4から18.6.2までの設定データを確認したとしています。
つまり、研究者間で完全に同じ観測範囲ではありません。ただ、共通しているのはiOS 18系の未更新端末が主な標的だったことです。ここを落とすと、「ぼくは18.7系だから平気かも」と早合点しやすいんですが、そういう話ではありません。
言い換えると、iPhoneが古いから危ないというより、塞がれていない穴が残ったまま使っていた端末が危なかった、という理解のほうが近いです。
実際、Appleが2月11日に公開したiOS 26.3のセキュリティ内容にはdyldのPACバイパス修正が含まれていて、この部分はiOS 26.3のdyld修正を追った記事でも触れたポイントです。更新が細かく分かれていたので、ひとつ前の26系でも全部閉じたとは限らない、という見方になります。
抜かれるデータはかなり重い
Googleが分析した最終ペイロードでは、iMessage、Telegram、WhatsAppのデータ、位置履歴、写真まわりの情報、iCloud Driveファイル、Notes、Calendar、暗号資産ウォレット情報、Healthデータなどが収集対象に入っていました。
加えて、マイク録音やスクリーンショット送信を想定した機能も確認されています。LookoutやGoogleの記述を見る限り、攻撃者が欲しいのは単なる端末情報ではなく、生活ログと認証の足場そのものです。ここがいちばん重いところです。
ここは少し怖い話で、メッセージだけでなく、どこにいたか、何を撮ったか、何にログインできるかまで見られる余地があります。単なる不具合とは重さが違います。
「再起動すれば消えるなら軽いのでは」と思いたくなるんですが、そうは言いにくいです。メモリ上の実装だから痕跡が薄いだけで、すでに持ち出されたチャット履歴や位置情報までは戻ってこないからです。
なぜ見つけにくいのか
DarkSwordの嫌なところは、いわゆるfileless寄りの動き方をすることです。JavaScript中心で展開し、正規プロセスの中で権限を広げていくので、「変なアプリが入った」という分かりやすいサインが出ません。
iVerifyは、感染の成否を探る手がかりとして複数サービスのクラッシュや特定ドメインとの通信などを挙げていますが、一般ユーザーが日常的にそこまで追うのは正直かなり難しいです。つまり、見つけて止めるより、先に塞ぐほうが現実的なんですよね。
このあたりは、バックグラウンドセキュリティ改善の入り方を確認しておく意味もあります。Appleは26.3.1(a)でWebKitの別件修正も配っていて、最近は「見えにくい場所で小さく塞ぐ」動きが増えています。
なので、変な通知が出ていないから大丈夫、と考えないほうがいいです。今回のタイプは、見た目が静かなまま進む可能性があるからです。
注目したいポイント:Appleの修正は速かったのか
Googleによれば、DarkSwordで使われた脆弱性は2025年後半にAppleへ報告され、関連する穴はiOS 26.1、26.2、26.3で順番に修正されました。2月12日公開の26.3で、Googleは既知の経路が閉じたとしています。
ただ、この話は「Appleが遅かった」で片づけるのも少し違います。まず前提として、攻撃側は1本の穴ではなく6本をつないでいて、しかも一部は複数のアクターへ広がっていました。パッチを1回で全部まとめて出せる類いの話ではなかったはずです。
その一方で、一般ユーザー側から見ると、26.1や26.2の時点で「もう十分安全なのか」はかなり分かりにくかったです。ここが厄介で、Appleの修正サイクルそのものより、どこまで直ったのかが見えにくいことのほうが、日常の防御としてはつらい部分かもしれません。
海外の反応:更新を止める怖さと復元の不安が並んだ
ひとつは「旧OSに居続けるリスクを改めて見せられた」という反応です。もうひとつは「感染後に初期化と復元を勧められても、そのバックアップが本当に安全なのか分からない」という戸惑いでした。警告と不信感が同じ場所に並んでいる感じです。
更新を止めた代償は大きい
iOS 26への不満から18系に残っていた人ほど、結果的に危険へ近づいていたという皮肉です。旧OSはLTSでない限り安全圏ではない、という声がかなり刺さります。
悪用は思ったより速い
フィッシング経由でサイトへ飛ばされ、そのままペイロード実行まで進むなら、被害は想像より早いという指摘も出ていました。セキュリティ更新を後回しにしないほうがいい、というかなりまっすぐな反応です。
復元先のバックアップは本当に大丈夫か
初期化してクリーンなバックアップへ戻せと言われても、その時点で何をもって「クリーン」と判断するのか分からない。ここに引っかかる声もあって、一般ユーザーの不安としてはかなり自然だと思います。
となりの見方:この反応、かなり現実的です。更新していない端末が危ないのはその通りなんですが、実際に怖いのは「感染したかもしれない」と感じたあとです。そこで迷わないためにも、ふだんからバックアップの取り方を分けておく人と、全部を端末任せにしている人では差が出ます。今回の話は、OS更新の習慣だけでなく、復元の準備まで含めて見直すきっかけになりそうです。
ひとこと:いちばん刺さったのは“静かさ”でした
今回の件でぼくがいちばん引っかかったのは、攻撃そのものの派手さより、被害者が異変に気づきにくい静かさです。Safariでページを開く、何も起きていないように見える、でも裏ではメッセージや位置情報まで触られる。ここまで来ると、一般ユーザーが自力で見抜くのはかなりしんどいです。だからこそ、古いOSに残る理由が「安定しているから」だけなら、今回は更新を優先したほうが自然だと思います。
まとめ:まず確認したいのは更新状況です
DarkSwordは、Safari起点で侵入し、複数の脆弱性を連鎖させてiPhoneを深く乗っ取る実戦投入済みの攻撃チェーンでした。Google、iVerify、Lookoutの報告を合わせて見ると、主戦場はiOS 18系の未更新端末で、Appleは26.1から26.3にかけて段階的に穴を閉じています。
いまiOS 26.3.1やiOS 18.7.6へ上げられるなら、まず更新です。 26系へ行ける機種は最新系統へ、18系で止まる機種も配信中の修正版まで上げたほうが自然です。仕事や検証の事情で更新できないなら、Lockdown Modeを有効にして、Safariで開くリンクや不審な誘導先をかなり慎重に見たほうがいい場面です。
ここは本当にシンプルで、未更新のまま使い続ける理由が強くないなら、後回しにしないほうがいいです。今回の話は、あとでやろう、で済ませにくい種類のものです。
もうひとつ気になるのが、「じゃあ更新したあと何をもって安全と見るのか」という不安です。ここは少し割り切りが必要で、感染を疑ったあとに取ったバックアップをそのまま安全証明のようには扱いにくいです。違和感が強いなら、その端末で新しい閲覧や認証を増やさず、更新後に別の信頼できる端末からApple Accountや主要サービスのパスワードを見直す。復元まで考えるなら、感染前と切り分けられるバックアップがあるかを先に見たほうが迷いにくいと思います。
ではまた!
暗号化バックアップや復元用の退避先をMac側で分けておきたいとき、外付けSSDが1本あると扱いやすいです。
AmazonSource: Google Threat Intelligence, iVerify, Lookout, Apple Security Releases, AppleInsider, Reddit
