iPhoneハッキングコードがGitHub流出。iOS 18以下の全端末が標的に

赤いネオンで縁取られたAppleのロゴマーク。背景には赤黒いグラデーションの中に、サイバーな雰囲気を感じさせる「0」と「1」のバイナリデータが敷き詰められている

✅この記事では、GitHubに流出したiPhone向け攻撃コード「DarkSword」が何を起こすのか、そして自分のiPhoneやiPadを今どの版まで上げればいいのかが分かります。

SafariでWebページを開いただけで乗っ取られる可能性がある話なので、iOS 18系のまま使っている人や、古いiPhoneを使い続けている人ほど関係が深いです。

要点まとめ：古い版のままかどうかが今の分かれ目です
詳細解説：DarkSwordは何が起きる攻撃なのか
GitHub公開で何が変わるのか
安全圏は18.7.3ではなく最新の対応版です
注目したいポイント：いちばん怖いのは“雑に広がる”ことです
海外の反応：誇張より更新情報を前に出せという声
ひとこと：今回の話は、怖さより手順が先です
まとめ：いま見るべきなのは自分の版番号です

どうも、となりです。

こういう話、名前だけで身構えやすいですよね。ただ、今回いちばん大事なのは「すごいハッキングツールが出た」ことより、もう防ぐ手段は出ているのに、そこまで上げていない端末がまだかなり残っていることです。正直、こういう攻撃コードがGitHubにそのまま出てくるのは、ちょっと勘弁してほしいなと思いました。

DarkSwordはもともと一部の攻撃で使われていたiPhone向けの侵入チェーンですが、2026年3月23日にGitHubへ流出したことで、使うハードルが一気に下がりました。難しい話に見えても、使う側から見ると結論はかなりはっきりしています。古い版のままなら急いで更新、新しい版なら慌てすぎなくて大丈夫です。

要点まとめ：古い版のままかどうかが今の分かれ目です

今回の話は、iPhoneが突然全部危険になったというより、更新が止まっている端末が狙いやすくなったという理解が近いです。Appleはすでに修正を出していて、GitHub流出で変わったのは「攻撃の敷居」のほうでした。

そのため、見るべきなのは恐い名前よりもいま自分の端末がどの版で止まっているかです。

DarkSwordは、Google Threat Intelligence Group、iVerify、Lookoutが追跡したiPhone向けのフルチェーン攻撃です。これは、何重にもかかっている鍵を順番に開けていくように端末の防御を段階的に突破していくタイプの侵入です。
主な対象として詳しく確認されているのはiOS 18.4〜18.6.2で、関連報道では18.7系を含む古いiOS 18も危険域として扱われています。
侵入口はSafariとWebKitで、感染したページを開くだけで端末の保護を段階的に突破します。
GitHubに出たサンプルはHTMLとJavaScript中心で、iVerifyは「そのまま使える」と警告しています。
今の安全側は最新の対応版です。目安として、新しめの機種はiOS 26.3.1、iPhone XS/XR系はiOS 18.7.6、さらに古い機種はiOS 16.7.15またはiOS 15.8.7まで上げたいところです。細かい枝番よりも、設定画面に表示される最新版まで上げているかを見るほうが確実です。

今回の怖さは、国家級だった攻撃がGitHub流出で急に身近になったことです。ただ、Appleはすでに修正を出しています。だから今見るべきなのは噂や煽りではなく、自分の端末が最新の対応版まで上がっているかどうかです。

詳細解説：DarkSwordは何が起きる攻撃なのか

DarkSwordは、iPhoneにアプリを入れさせるタイプではありません。Safariで細工されたページを開かせ、そこから複数の弱点を順番につないで、端末の深いところまで入っていく攻撃です。

Google Threat Intelligence Groupによると、このチェーンは6つの脆弱性を使い、最終的にiPhoneを完全に侵害できる構成でした。iVerifyも、WebKitから始まってカーネルまで落ちていく流れだと説明しています。ここでいうカーネルはOSの心臓部のような場所で、そこまで触られると端末全体を好きに動かされやすくなります。ここは少し見落としやすいですが、単独の穴というより弱点の束として動いていたのが厄介です。

流出版でさらに嫌なのは、攻撃の組み立てが重すぎないことです。TechCrunchに対してiVerifyのMatthias Frielingsdorf氏は、GitHubに上がったファイルはHTMLとJavaScriptだけでかなり単純で、コピーしてサーバーに置けば数分から数時間で使い始められると話しています。Googleの研究者たちもこの見方に同意しており、さらにセキュリティ愛好家のmatteyeux氏は、オンラインで見つかった流出サンプルを使って、iOS 18を搭載したiPad miniへのハッキング成功を確認したと報告しています。

Got kernel R/W on an iPad mini 6th gen running iOS 18.6.2 using the in the wild exploit chain darksword pic.twitter.com/zT2mc8TvbM
— matteyeux (@matteyeux) March 23, 2026

もう少し中身に触れると、侵害後は連絡先、メッセージ、通話履歴、Wi-Fiパスワード、位置情報、ブラウザ履歴などを外へ送る設計が確認されています。iVerifyは健康、メモ、カレンダーデータにも触れており、Googleの解析でもWi-Fiパスワードやインストール済みアプリ情報に関わる痕跡が出ています。「端末の中身をかなり広く抜かれる話」と受け取ったほうが近いです。

GitHub公開で何が変わるのか

GitHub公開でいちばん変わるのは「攻撃の原理をゼロから考えなくてよくなる」ことです。HTMLとJavaScriptで組まれた入口が見えていれば、攻撃者はまず配信の形をそのまま真似できますし、どのURL構成や読み込み順で動くのかも追いやすくなります。

もうひとつ大きいのは、試す作業が急に軽くなることです。脆弱な端末を1台用意できれば、どこで落ちるか、どこまで通るか、どの部分を差し替えると再利用しやすいかを短いサイクルで回せます。今回matteyeux氏がiPad miniで再現できたのも、この「手元で試せる」段階に入っていることをかなり分かりやすく示しています。

さらに厄介なのは、公開されたコードが完成品そのものではなくても十分使い道があることです。入口のHTMLとJavaScriptが見えるだけでも、攻撃ページの置き方、外部から何を呼ぶか、どこで端末判定をするかといった設計の癖が読めます。ここが見えると、別の窃取処理や別の配信先に差し替える動きが出やすいんですよね。

DarkSwordそのものの攻撃の流れを先に押さえたい場合は、iOS 18を狙ったDarkSwordの初報も前提としてつながります。

安全圏は18.7.3ではなく最新の対応版です

ここで少しややこしいのが、記事やSNSでiOS 18.7.3という版番号だけが独り歩きしやすいことです。たしかにAppleInsiderは、DarkSwordで使われた脆弱性がiOS 26.3とiOS 18.7.3で塞がれたと書いています。

ただ、2026年3月24日時点でAppleのセキュリティ一覧を見ると、iOS 18系に残る端末向けの最新はiOS 18.7.6です。新しめの機種向けはiOS 26.3.1、さらに古い機種向けにはiOS 16.7.15とiOS 15.8.7が2026年3月11日に配信されています。つまり実際の行動としては、18.7.3を探すよりその端末で入れられる最新対応版に上げるほうが自然です。設定画面に表示される最新版まで更新できているかを見るのがいちばん確実です。

旧機種向け修正の範囲が気になるなら、iOS 16.7.15と15.8.7の修正内容を見ておくと把握しやすいです。

Appleの公開資料では、iOS 16.7.15はWebKitの修正を、iOS 15.8.7はKernelと複数のWebKit修正を旧機種へ持ち戻しています。どちらも説明文ではCorunaとの関連が前面に出ていますが、TechCrunchに対してApple広報のSarah O’Rourke氏は、古くて更新が止まったOSを狙うDarkSwordに対しても3月11日の緊急更新を出したと述べています。CorunaはDarkSwordとは別系統の攻撃で、同じ時期に確認された別の侵入チェーンですが、どちらも古いOSを狙う点が共通しています。

旧iPhoneを使い続ける人向けの注意点は、古いiPhone向け更新の警告記事でも触れた流れと同じです。Appleはかなり長く面倒を見ていますが、さすがに2〜3世代遅れたまま放置してよいという話ではなくなっています。

版番号だけ並べると分かりにくいので、今の判断はこうです。

iPhone 11以降などiOS 26へ上げられる機種：iOS 26.3.1以降へ
iPhone XS / XS Max / XR：iOS 18.7.6へ
iPhone 8 / X系：iOS 16.7.15へ
iPhone 6s / 7 / 初代SE：iOS 15.8.7へ

Lockdown Modeもこの攻撃には有効だとAppleは案内しています。更新できるのにしていない端末の保険ではなく、標的型リスクが高い人がさらに守りを固める手段として見ておくとズレにくいです。

注目したいポイント：いちばん怖いのは“雑に広がる”ことです

DarkSwordはもともと複数の脅威アクターが使っていた攻撃で、Googleはサウジアラビア、トルコ、マレーシア、ウクライナでの利用を挙げています。ここまでは、かなり高度で閉じた世界の話に見えました。

ところがGitHub流出で空気が変わりました。TechCrunchは、Microsoft傘下のGitHubについて即答がなかったことも伝えていて, 公開後の初動が速いとは言い切れません。しかもiVerifyは「そのまま使える」とまで見ています。ぼくがいちばん気になるのはここです。高度な攻撃そのものより、再利用しやすい形で外へ出たことのほうが、広い意味では危険だからです。

もちろん、流出したから全員が即感染という話ではありません。感染済みページへ触れる必要がありますし、最新の対応版まで上がっていれば条件は大きく変わります。ただ、更新を後回しにしていた端末が急に目立ってしまう段階に入ったのは確かです。

この前提を落とすと結論が変わります。今回の対策は、セキュリティアプリを増やすことよりもOS更新を終わらせることが先です。

海外の反応：誇張より更新情報を前に出せという声

ひとつは、見出しで危機感を強く出しすぎると逆に伝わりにくいという声です。もうひとつは、封じ込めが終わった以上、強い言い方でも更新を急がせるべきだという声でした。さらに、AppleがiOS 18系をどう扱うかへの不満も混ざっています。

必要なのは「手遅れ」より版番号
もう遅いと煽るより、今すぐ更新と書いて最低限の安全版を見出しに入れてほしい、という反応です。

封じ込めは終わったという見方
GitHubへ出た時点で無料で再利用されるのだから、強い警告でも大げさではない、という受け止め方もかなりはっきり出ています。

iOS 18を切り離したことへの不満
Appleが最近の端末向けにiOS 18側の修正をもっと長く出すべきだったのでは、という苛立ちもありました。

となりの見方：見出しの言い方には好みがありますが、今回それ以上に大事なのは最低限どこまで上げればいいかを先に示すことだと思います。強く警告するにしても、版番号がなければ動きにくいからです。反対に、すでに最新の対応版へ上げているなら、必要以上に怖がる段階ではありません。

ひとこと：今回の話は、怖さより手順が先です

DarkSwordはたしかに重い話です。Safariから入って端末の深い場所まで届き、しかもGitHubへ流出しました。ただ、こういうときに不安だけ大きくすると手が止まりやすいんですよね。見る順番はかなり単純で、まず自分のiPhoneがどの版かを見る、次にその機種で入れられる最新対応版へ上げる、それでも標的型の不安があるならLockdown Modeを考える、です。セキュリティの話ほど専門用語が前に出がちですが、今回は版番号の確認だけでもだいぶ違います。古い端末をできれば長く使いたい気持ちも分かるんですが、それでも今回は更新しておいたほうが安心できる場面だと感じました。