ロシア関連ハッカー、DarkSword攻撃確認　ウクライナのiPhoneユーザーを標的

ロシア関連ハッカー、DarkSwordでウクライナを標的に攻撃

最近のサイバーセキュリティ研究によると、ロシアとの関連が指摘されるハッカーグループが、高度なiPhone向け攻撃ツール「DarkSword」を用いてウクライナのユーザーを標的とした攻撃を行っていたことが明らかになった。

このマルウェアは、ユーザーの操作をほとんど必要とせずにiPhoneへ侵入し、短時間でデータを抽出した後、痕跡を消去する能力を持つとされる。Lookoutの研究者はこの活動を「UNC6353」として追跡しており、過去にはCorunaエクスプロイトチェーンを用いた攻撃との関連も指摘している。

DarkSwordキャンペーンは2025年末から2026年3月にかけて確認されており、主にウクライナの地域ニュースサイトや地方裁判所のウェブサイトを侵害する「ウォータリングホール攻撃」を通じて展開された。

感染したページを訪問したユーザーに対して攻撃が自動的に実行され、メールやメッセージ、写真、認証情報、暗号資産ウォレットデータなどが窃取される可能性がある。

金融目的とスパイ活動を併せ持つDarkSword

DarkSwordマルウェアは、スパイ活動に加え、金銭的利益を目的とした攻撃にも利用されている。Google、iVerify、Lookoutが共同で発表した研究によると、このエクスプロイトチェーンはiOS 18.4から18.7を実行するiPhoneを標的とし、複数のゼロデイ脆弱性を悪用してデバイスの制御を奪う可能性があるとされる。

この仕組みにより、特に暗号資産プラットフォームや暗号資産ウォレットが主要な標的となっている。

また、DarkSwordは「Ghostblade」「Ghostknife」「Ghostsaber」と呼ばれる3つのマルウェアファミリーを用い、ワンクリックでリモートコード実行、サンドボックス回避、権限昇格を可能にする機能を備える。

被害者が悪意のあるウェブサイトにアクセスすると、攻撃が即座に実行され、デバイスの制御が奪われた後、データが窃取され、痕跡が消去されるとみられる。

複数の脅威グループによる悪用と拡散

このマルウェアを使用する主要な脅威グループの一つとされるUNC6353は、ロシア系のスパイ活動と関連が指摘されており、過去にもウクライナのユーザーを対象としたウォータリングホール攻撃が確認されている。

同グループはDarkSwordおよびCorunaエクスプロイトチェーンを使用しているが、コードや攻撃手法を隠蔽する試みはほとんど見られなかったとLookoutは指摘している。これは、AIを用いたマルウェア開発の可能性を示唆するものとみられる。

また、Googleは2025年11月、サウジアラビアのユーザーを標的とした偽サイトを通じてDarkSwordが配布された事例を確認した。さらにトルコではPARS Defenseと関連する活動が確認されており、マレーシアでも2026年1月に類似の攻撃が観測されている。

iOSアップデートと継続するリスク

Appleは2025年末に本件で悪用された脆弱性を修正しているが、多くのユーザーが旧バージョンを使用しているため、依然としてリスクが残る状況にある。

iPhoneユーザーには、iOS 18.7.6またはiOS 26.3.1への速やかなアップデートが求められるほか、Lockdown Modeなど追加的なセキュリティ対策の導入も推奨される。

iVerifyの共同創業者Matthias Frielingsdorf氏は、最新OSへの更新が進んでいない現状により、n-dayエクスプロイトの二次市場が活性化する可能性があると警告している。