DarkSword流出──数億台のiPhoneが危機に

国家が独占していたiPhoneハッキングツールが、GitHubで誰でもダウンロードできる状態になっている。先日報じたDarkSwordの「続報」は、想像以上に深刻だった。

「もう封じ込められない」──iVerify共同創業者の警告

iPhoneを標的とする高度なエクスプロイトキットDarkSwordの新バージョンが、コード共有サイトGitHubに公開されている。TechCrunchが3月24日（日本時間）に報じた。

先週明らかになったDarkSwordは、ロシアの国家支援グループやトルコの監視ベンダーPARS Defenseが使っていた「選ばれた者だけの武器」だった。それが今、GitHubのリポジトリに置かれ、世界中の誰でもコピー可能な状態にある。デジタル兵器庫の鍵が、インターネット上に投げ捨てられた格好だ。

モバイルセキュリティ企業iVerifyの共同創業者マティアス・フリーリングスドルフは「まずい事態だ。あまりにも簡単に転用できる。もう封じ込めは不可能だろう。犯罪者やその他の攻撃者がこれを使い始めると覚悟すべきだ」とTechCrunchに語った。

Googleの広報担当キンバリー・サムラも、この評価に同意している。以前DarkSwordの分析を公表したGoogle脅威インテリジェンスグループ（GTIG）の研究者たちが、フリーリングスドルフの見解を支持した形だ。

HTMLとJavaScriptだけ──「iOSの専門知識は不要」

流出したコードの中身が、事態の深刻さを物語っている。

フリーリングスドルフによれば、GitHubにアップロードされたファイルは単純なHTMLとJavaScriptで構成されている。つまり誰でもコピー＆ペーストし、サーバーにホストするだけで攻撃が成立する。所要時間は「数分から数時間」。iOSの内部構造に精通している必要もない。

「エクスプロイトはそのまま動く。iOSの専門知識は一切不要だ」とフリーリングスドルフは断言した。

これまでの国家級スパイウェア──たとえばNSOグループのPegasusや、先月公表されたCoruna──は、高度なインフラと専門知識が前提だった。数百万ドルの購入費用か、あるいはゼロデイ市場を渡り歩く情報網が必要だった。DarkSwordのGitHub流出は、そのハードルを一夜にして地面まで下げてしまった。

「趣味のハッカー」が実際にiPadを攻略した

言葉だけの警告ではない。すでに実証が行われている。

セキュリティ愛好家のmatteyeuxが3月24日（日本時間）、Xに投稿を公開した。流通しているDarkSwordのサンプルを使い、iPad mini（第6世代）のiPadOS 18.6.2でカーネルの読み書き権限を取得できたという。

https://x.com/matteyeux/status/2035994616504226140

国家の諜報機関が使っていたツールを、個人の「趣味」レベルで再現できてしまう。この事実は、脅威がもはや理論上のリスクではなく、現実の攻撃手段として成立していることを示している。

コードに残された「開発者メモ」の不気味さ

TechCrunchの報道によれば、流出したコードには開発者が残したとみられるコメントが複数含まれている。エクスプロイトの動作原理や実装方法を説明する内容で、いわば「取扱説明書」が攻撃コードに同梱されている状態だ。

あるコメントには、エクスプロイトが「iOSデバイスからフォレンジック関連ファイルをHTTP経由で読み取り、外部に持ち出す」と記されている。別のファイルには「侵入後の活動」として、連絡先、メッセージ、通話履歴、そしてWi-Fiパスワードなどが保存されるiOSキーチェーンの中身をリモートサーバーに送信するプロセスが描かれていた。

Lookoutの分析によれば、DarkSwordは暗号通貨ウォレットアプリも重点的に狙う設計だ。Coinbase、Binance、Kraken、MetaMask、Ledgerなど主要な取引所・ウォレットのデータ窃取を試みる。

金銭的動機を持つ攻撃者にとって、このツールキットはまさに「宝の地図付きの鍵」だ。しかもその地図には、丁寧に目的地までの道順が書いてある。

数億台のiPhoneが射程に入っている

影響範囲の試算が、危機感をさらに増幅させる。

Appleの公式データによれば、全iPhone・iPadユーザーの約25%がiOS 18以前のバージョンを使い続けている。Appleのアクティブデバイス数は25億台を超えているため、単純計算で数億台規模のデバイスがDarkSwordの射程圏内にある。

iVerifyの詳細分析はさらに踏み込んでいる。DarkSwordが直接標的とするiOS 18.4〜18.6.2の範囲だけでも、推定約2億2,000万台──全ユーザーの約14.2%が脆弱な状態だ。

もちろん全員が攻撃されるわけではない。だがGitHub流出以前は、DarkSwordを使えるのはロシアの諜報グループUNC6353やトルコの監視ベンダーなど、限られたアクターだけだった。今は違う。技術力の低い犯罪者でも、コピー＆ペーストで攻撃を仕掛けられる。「誰が使うか」の範囲が、桁違いに広がった。

要するに、DarkSwordの影響範囲は「脆弱なデバイスの台数」ではなく「それを攻撃できる人間の数」で決まる。GitHub流出は後者を爆発的に拡大させた。

Appleの回答──そしてGitHubの沈黙

Appleはすでに手を打っている。広報担当サラ・オロークはTechCrunchに対し、旧バージョンのOSを標的にしたエクスプロイトを認識しており、3月12日（日本時間）に古いデバイス向けの緊急アップデートを配布済みだと説明した。

「ソフトウェアを最新の状態に保つことが、Apple製品のセキュリティを維持するためにできる最も重要なことです」とオローク。最新ソフトウェアを適用済みのデバイスにはリスクがなく、ロックダウンモードも今回の攻撃を阻止できると付け加えた。

一方、GitHubを所有するMicrosoftは、TechCrunchの取材にコメントを出していない。攻撃コードが自社プラットフォームに公開されている状態で、沈黙を続けている。

正直なところ、Appleの対応は悪くない。iOS 26.3とiOS 18.7.3でDarkSwordが悪用する脆弱性はすべて修正済みだ。iPhone XR・XS世代まで遡ってパッチが提供されている。やるべきことはやっている。

問題は、ユーザーがアップデートしないことだ。全デバイスの4分の1がまだiOS 18以前という数字が、それを証明している。

「国家の武器」が「誰でも使えるツール」になるとき

DarkSwordのGitHub流出は、2017年のEternalBlue事件──NSAのWindows向けエクスプロイトがWannaCryランサムウェアの引き金になった──を否応なく想起させる。先日の記事でもその比較を試みたが、今回の流出で類似性はさらに鮮明になっている。

EternalBlueのときも、流出から大規模被害まで時間はかからなかった。コードが公開され、数週間後にはWannaCryが世界中の病院や企業を襲った。DarkSwordが同じ軌道をたどらない保証はどこにもない。

違いがあるとすれば、今回はAppleがすでにパッチを配布している点だ。だがEternalBlueのときも、Microsoftはパッチを提供していた。それでも被害は広がった。パッチの存在と適用は、まったく別の話だ。

iVerifyは5月まで無料アプリ「iVerify Basic」でDarkSword感染の検出機能を提供している。まず自分のデバイスを確認し、iOSを最新バージョンに更新すること。それが、今できる最善の行動だ。

「設定」→「一般」→「ソフトウェアアップデート」。数タップの操作が、数億台に突きつけられた脅威への最もシンプルな答えになる。

#iPhone #Apple #DarkSword #サイバーセキュリティ #GitHub #iOS #iVerify