数億台のiPhoneをハックできるエクスプロイト「DarkSword」マルウェアが何者かによって公に流出

複数のゼロデイ脆弱(ぜいじゃく)性を利用してiOS端末を侵害するエクスプロイト「DarkSword」が2026年3月にGoogleの脅威インテリジェンスグループによって報告されました。IT系ニュースサイトのTechCrunchが、このDarkSwordを実行するマルウェアの最新版がソースコードリポジトリのGitHubに公開されたと報じています。

Someone has publicly leaked an exploit kit that can hack millions of iPhones | TechCrunch
https://techcrunch.com/2026/03/23/someone-has-publicly-leaked-an-exploit-kit-that-can-hack-millions-of-iphones/

DarkSwordはiOS 18.4～18.7に存在する6つの異なる脆弱性を利用したエクスプロイトで、端末から資格情報を含む広範な個人情報を抜き出すことを目的としています。特に多数の仮想通貨ウォレットが標的になっており、DarkSwordを実行するマルウェアは記事作成時点で少なくとも3種類が確認されています。

6つの脆弱性を用いたiOS向けエクスプロイトチェーン「DarkSword」の存在をGoogleなどが発見 - GIGAZINE

研究者によれば、このDarkSwordを実行するマルウェアは、iOSを最新バージョンにアップデートしていないiPhoneユーザーを標的にできるとのこと。ホワイトハッカーであるmatteyeux氏もX(旧Twitter)で、オンラインで出回っているDarkSwordマルウェアのサンプルを使って、iPadOS 18.6.2が搭載された第6世代iPad miniをハックできたと報告しました。

モバイルセキュリティスタートアップ・iVerifyの共同設立者であるマティアス・フリーリングスドルフ氏は「これはまずい、簡単に悪用されてしまいます。もはやDarkSwordを抑え込むことはできないでしょう。犯罪者がDarkSwordを使い始めることを覚悟しなければなりません」と述べています。

DarkSwordの開発に携わった1人が書いたと思われるGitHubのコメントには、「このDarkSwordマルウェアはHTTP経由でiOSデバイスからフォレンジック的に関連のあるファイルを読み取り、外部に持ち出す。このペイロードは、ファイルシステムアクセス権限を持つプロセスに注入されるべき」と書かれていたとのこと。これは個人のiPhoneやiPadから情報を盗み出し、インターネット経由で攻撃者が管理するサーバーにデータを送信することを指しています。

フリーリングスドルフ氏によれば、GitHubで公開されたマルウェアはiVerifyが以前に分析したものと同じインフラストラクチャを共有しているものの、ファイル自体は若干異なっているとのこと。また、GitHubにアップロードされたファイルはHTMLとJavaScriptのみとシンプルなので、誰でもコピー＆ペーストしてすぐにサーバーにホストできてしまうと警告しました。

Apple自身のデータによると、iPhoneとiPadユーザーの約4分の1が依然としてiOS 18以前のバージョンを使用していることがわかっており、TechCrunchは「現役のiPhoneおよびiPad数億台に影響を与える可能性が高い」と述べています。

Appleの広報担当者であるサラ・オローク氏はTechCrunchに対し、「Appleは古いバージョンのオペレーティングシステムを実行しているデバイスを標的とした脆弱性を認識しており、最新バージョンのiOSを実行できないデバイス向けに3月11日に緊急アップデートをリリースしました。Apple製品のセキュリティを維持するために最も重要なことは、ソフトウェアを常に最新の状態に保つことです」と述べています。