Google Cloud Threat Intelligenceが2026年3月18日に発表したレポートが、セキュリティコミュニティに衝撃を与えた。「DarkSword」と名付けられた新型のiOS向けエクスプロイトチェーンが、推定2.7億台のiPhoneを危険にさらしている。
DarkSwordとは何か
DarkSwordは単一の脆弱性ではなく、6つの異なる脆弱性(うち3つがゼロデイ)を連鎖させるエクスプロイトチェーンだ。攻撃の特徴は「ドライブバイ」方式で、ユーザーが改ざんされたWebサイトを訪問するだけで感染する。
| 特性 | 詳細 |
|---|---|
| 脆弱なiOSバージョン | iOS 18.4〜18.7 |
| 影響を受ける端末数 | 推定2.7億台 |
| 攻撃手法 | ドライブバイ(Web閲覧のみで感染) |
| 悪用する脆弱性の数 | 6個(ゼロデイ3個含む) |
| データ窃取時間 | 数秒〜数分で完了 |
| 確認された標的国 | ウクライナ、中国、サウジアラビア、トルコ、マレーシア |
ロシアの諜報活動との関連
Googleは、ロシア系の脅威アクター「UNC6353」がDarkSwordを使用し、ウクライナ市民のiPhoneから個人情報を窃取する「ウォーターホール攻撃」を展開していると報告した。ウクライナの数十のWebサイトにDarkSwordのコードが埋め込まれており、2025年12月から活動が確認されている。
「ヒット・アンド・ラン」戦術
DarkSwordの特徴は「ヒット・アンド・ラン」だ。デバイスに侵入後、数秒から数分以内にデータを抽出し、痕跡を消去して退出する。従来のスパイウェアのように端末に常駐するのではなく、一瞬で必要な情報だけを盗み取る。検知が極めて難しい設計だ。
スパイウェア産業の構造変化
DarkSwordの出現は、スパイウェア産業の構造的な変化を反映している。かつてこの分野はイスラエルのNSO Group(Pegasusの開発元)が独占的な地位を占めていた。しかし2021年の米国による制裁以降、NSO Groupの事業は大幅に縮小し、その技術者や知見が他国の組織に拡散した。いわば「スパイウェア人材の離散」が起きている。
DarkSwordが「ドライブバイ」方式を採用している点は技術的に注目に値する。NSOのPegasusは「ゼロクリック」攻撃(iMessageを受信するだけで感染)で知られたが、DarkSwordはWebブラウザ経由で感染するため、より広範な標的に対して展開できる。一方で、標的を特定のWebサイトに誘導する必要があるため、大規模な無差別攻撃には向かない。ウクライナの特定のWebサイトにコードを仕込む「ウォーターホール攻撃」は、特定の集団を狙い撃ちにする戦術であり、国家レベルの情報戦の一環として使われている。
企業のセキュリティ担当者にとって、この事件は「BYOD(Bring Your Own Device)」ポリシーの再検討を迫るものだ。従業員がiOS 18系のまま私用端末を業務に使用していれば、DarkSwordを通じて企業の機密情報が窃取されるリスクがある。MDM(Mobile Device Management)でOSバージョンの最低要件を強制する、あるいはアプリケーションレイヤーでのデータ分離を徹底するなどの対策が急務だ。
ゼロデイ脆弱性の市場価格も高騰を続けている。2025年のZerodiumの価格表では、iOSのフルチェーン(リモートコード実行+サンドボックス脱出+権限昇格)は最大250万ドルとされていたが、闇市場ではこの数倍の価格で取引されるケースもある。DarkSwordが6つの脆弱性を連鎖させていることを考えると、開発コストは数百万ドルから数千万ドルに達する可能性がある。国家の予算規模でなければ実現できない攻撃だ。
対策——iOS 26へのアップデートが唯一の防御
Appleは最新のiOS 26でDarkSwordが利用する脆弱性をすべて修正済みだ。しかし、世界中でiOS 18系をまだ使用している端末が2.7億台存在する。アップデートの適用率がセキュリティの命運を握っている。
国家支援型のサイバー攻撃ツールが民間にも拡散する「スパイウェアの民主化」が進んでいる。今回のDarkSwordは、高度な技術力を持つ国家アクターの攻撃が、いつ一般ユーザーに向けられてもおかしくない現実を突きつけている。あなたのiPhoneは最新版にアップデートされているだろうか。
iOS更新率と現実のリスク
DarkSwordが脅威となる根本的な理由は、iOSのアップデート適用率にある。Appleの公式データでは、最新のiOSがリリースされてから90日以内のアップデート率は約70%とされている。つまり、アクティブiPhoneの約30%、すなわち数億台が脆弱な旧バージョンのまま使用されている計算だ。特に問題なのは、iOS 18.4〜18.7というDarkSwordの対象バージョンが比較的新しいことだ。iOS 15やiOS 16のような明らかに古いバージョンではなく、「つい最近まで最新だった」バージョンが脆弱であることが、ユーザーの危機意識を低下させている。
組織のセキュリティ管理者にとっては、BYOD端末のOSバージョン管理が喫緊の課題だ。iOS 26へのアップデートを全従業員に強制するためのMDMポリシー設定、アップデート未適用端末の社内ネットワークへの接続制限、さらにはゼロトラストアーキテクチャの導入によるデバイス信頼性の継続的な検証——これらの対策を、インシデント発生前に実装しておく必要がある。
国際法の観点では、DarkSwordのようなサイバー兵器の使用は、武力行使に至らない「グレーゾーン」の紛争行為として位置づけられる。国連サイバー犯罪条約(2025年採択)はこうしたツールの開発と使用を規制する枠組みを提供するが、国家が関与するサイバー攻撃に対する実効性は限定的だ。技術的な防御と法的な抑止力の両面からのアプローチが求められている。
起業家への示唆
DarkSwordのようなゼロデイ攻撃は、一般的なスタートアップが直接の標的になるものではない。しかし、このレベルの攻撃技術が存在するという事実は、セキュリティ製品・サービスの市場機会を示している。モバイルデバイスのセキュリティ監視(MTD: Mobile Threat Defense)、ゼロデイ脆弱性の検出(バグバウンティプラットフォーム)、エンドポイントの異常検知(EDR/XDR)といった領域は、DarkSwordのような脅威の高度化に比例して成長が加速する。
モバイルセキュリティ市場は2026年に約80億ドル規模に達し、年率20%以上で成長している。Lookout、Zimperium、Jamfといった企業がMTD市場をリードしているが、AI搭載の次世代セキュリティツールへの需要は高まる一方だ。スパイウェアの進化とセキュリティツールの進化は「いたちごっこ」だが、防御側が常に後手に回るわけではない。AIによる異常行動検出は、未知のゼロデイ攻撃に対しても有効な防御手段となりうる。
出典: Google Cloud Blog, Time, TechCrunch, The Hacker News
