CISA、DarkSword関連のiOS脆弱性3件を「積極的に悪用されている脆弱性カタログ」に追加
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、iOSの脆弱性3件を「積極的に悪用されている既知の脆弱性(KEV)カタログ」に追加し、連邦文民行政府(FCEB)機関に対して2週間以内——具体的には2026年4月3日まで——のパッチ適用を義務付けた。
DarkSwordとは何か
DarkSwordは、iPhoneを標的とした高度なエクスプロイト配信フレームワークだ。先週、Googleの脅威インテリジェンスグループ(GTIG)とセキュリティ企業iVerifyの研究者が詳細を公開した。このフレームワークは合計6件の脆弱性チェーン(CVE-2025-31277、CVE-2025-43529、CVE-2026-20700、CVE-2025-14174、CVE-2025-43510、CVE-2025-43520)を組み合わせて利用し、サンドボックス回避・権限昇格・リモートコード実行を可能にする。
Appleはすでに最新のiOSリリースで全脆弱性を修正済みだが、iOS 18.4〜18.7を実行しているiPhoneはいまだ影響を受けるため、迅速なアップデートが求められる。
3つのマルウェアファミリーと攻撃グループ
GTIGの調査によると、DarkSwordを通じて感染端末に投下されるマルウェアは以下の3種類だ。
- GhostBlade — 非常に攻撃的なJavaScriptベースの情報窃取型マルウェア
- GhostKnife — 大量のデータを外部に持ち出すバックドア
- GhostSaber — コード実行とデータ窃取を兼ねるJavaScript型マルウェア
攻撃グループとしては、トルコの商用スパイウェアベンダー「PARS Defense」の顧客とされるUNC6748と、ロシアのスパイ活動グループと疑われるUNC6353が関与していることが判明している。UNC6353はウォータリングホール攻撃を展開しており、ウクライナのECサイト・産業機器・地域サービス系のウェブサイトを侵害してiPhoneユーザーを狙っていた。
また、DarkSwordは感染後に一時ファイルを消去して終了する設計になっており、短期間の監視オペレーションと検知回避を意図した作りになっていると研究者らは指摘する。
CISAの対応と民間企業への呼びかけ
CISAは今回、6件の脆弱性のうちCVE-2025-31277、CVE-2025-43510、CVE-2025-43520の3件をKEVカタログに登録。拘束的運用指令(BOD 22-01)に基づき、FCEB機関に対して「ベンダー指示に従ったパッチ適用、またはクラウドサービス向けBOD 22-01ガイダンスの遵守。緩和策が利用できない場合は製品の使用を中止すること」と警告した。
BOD 22-01の適用対象は連邦機関に限られるが、CISAは民間企業を含むすべての組織に対しても、できる限り早急にデバイスを保護するよう強く求めている。
日本のユーザーへの影響
iPhoneは日本国内でも高いシェアを持つ。iOS 18.4以降を使用しているユーザーは、設定アプリから**「一般」→「ソフトウェアアップデート」**を確認し、最新バージョンへのアップデートを今すぐ行うことが推奨される。特に企業のモバイルデバイス管理(MDM)担当者は、管理下にある端末のOSバージョンを速やかに確認してほしい。
元記事: CISA orders feds to patch DarkSword iOS flaws exploited attacks