ロシア国家支援グループTA446がDarkSword iOSエクスプロイトキットでスピアフィッシング攻撃を展開
ロシアFSB(連邦保安庁)傘下の攻撃グループ TA446 が、GitHubに流出したiOSエクスプロイトキット「DarkSword」を武器に、大規模なスピアフィッシング攻撃を展開していることがProofpointの調査で判明した。TA446がiOSデバイスやiCloudアカウントを標的にするのは初めて確認された動きで、流出エクスプロイトキットの「民主化」が国家レベルの攻撃者にも波及している。
TA446とは何者か
TA446はセキュリティ業界ではCallisto、COLDRIVER、Star Blizzard(旧SEABORGIUM)とも呼ばれるロシア国家支援の攻撃グループで、MITRE ATT&CKではG1033として追跡されている。従来は認証情報の窃取を主目的としたスピアフィッシングが中心で、WhatsAppアカウントへの攻撃やカスタムマルウェアの展開も確認されてきた。
今回のキャンペーン(攻撃活動)で注目すべきは、TA446がこれまで一度もiOSデバイスやAppleサービスを狙っていなかったという点だ。DarkSwordの流出が、攻撃ベクトルの拡大を可能にした。
攻撃の全体像
2026年3月26日、TA446は 大西洋評議会(Atlantic Council)を偽装した「議論への招待」メールを送信した。メールは侵害済みの正規アカウントから送られており、名指しで確認されている標的の一人がレオニード・ヴォルコフ氏(ロシア反体制派の政治家、反腐敗財団の政治ディレクター)だった。
標的は政府機関、シンクタンク、高等教育機関、金融機関、法律事務所と広範囲に及び、Proofpointは「通常よりかなり広い範囲を狙っている」としている。直近2週間のメール量も「著しく増加している」という。
攻撃チェーンは以下の流れで進行する。
graph TD
A[侵害済みアカウントから<br/>偽装メール送信] --> B{受信デバイスの判定}
B -->|iPhone/iPad| C[DarkSwordエクスプロイトキット<br/>へリダイレクト]
B -->|自動分析ツール| D[無害なデコイPDFを返却]
B -->|PC| E[パスワード付きZIPファイル<br/>MAYBEROBOTバックドア配信]
C --> F[Safari WebKit脆弱性で<br/>初期侵害]
F --> G[PAC/TPROバイパス<br/>CVE-2026-20700]
G --> H[ANGLE経由<br/>サンドボックス脱出]
H --> I[カーネル特権昇格]
I --> J[GHOSTBLADEデータマイナー<br/>インストール]サーバー側でアクセス元を振り分けるのが巧妙で、自動解析ツール(サンドボックスやクローラー)がアクセスすると無害なPDFを返し、iPhoneのSafariからアクセスした場合だけエクスプロイトキットを配信する。PC経由のアクセスにはパスワード付きZIPで MAYBEROBOT というバックドアを送り込む。
DarkSwordエクスプロイトキットの技術的詳細
DarkSwordは2026年3月中旬にiVerify・Google Threat Intelligence Group・Lookoutが共同で発見したiOS向けエクスプロイトキットで、以前のCISA KEV追加の記事でも触れたとおり、Apple WebKit・Kernelの脆弱性を連鎖させてiOS端末を完全に掌握する。発見の2週間前に調査されたCorunaエクスプロイトキットと同一の攻撃者インフラに紐づいており、いずれもウクライナの標的に対して使用されていた。
3月23日にはDarkSwordのコードがGitHubに流出し、従来は国家レベルの攻撃者だけが使えた高度なiOSエクスプロイトが誰でも入手可能な状態になった。Lookoutのジャスティン・アルブレヒト氏は「iPhoneがサイバー脅威に対して無敵で、高度なモバイル攻撃は政府高官だけが標的になるという常識をDarkSwordは覆した」と指摘している。
悪用される6つのCVE
DarkSwordは6件の脆弱性を連鎖させ、3件をゼロデイとして悪用していた。
| CVE | コンポーネント | 内容 | ゼロデイ |
|---|---|---|---|
| CVE-2025-31277 | Safari WebContent JIT RegExp | 型混同(type confusion)によるRCE | Yes |
| CVE-2025-43529 | Safari WebContent JIT | Use-After-Freeによる任意メモリ読み書き | Yes |
| CVE-2026-20700 | dyld TPRO/PACバイパス | Pointer Authentication回避 | Yes |
| CVE-2025-14174 | ANGLE GPUプロセス | 境界外書き込みによるサンドボックス脱出 | No |
| CVE-2025-43510 | AppleM2ScalerCSCDriver | Copy-On-Write脆弱性でカーネル侵害 | No |
| CVE-2025-43520 | XNUカーネル | 特権昇格 | No |
対象はiOS 18.4〜18.6.2で、iVerifyの推計では約2億2150万台のiPhoneが影響を受ける可能性がある。
エクスプロイトチェーンの各ステージ
攻撃は7段階に分かれる。
graph TD
S1[Stage 1: 初期侵害<br/>悪意あるiframeを埋め込んだ<br/>Webサイトにアクセス] --> S2[Stage 2: ローダー配信<br/>rce_loader.jsがiOSバージョンを判定<br/>適切なエクスプロイトを選択]
S2 --> S3[Stage 3: Safari RCE<br/>JIT脆弱性で任意メモリ<br/>読み書きを確立]
S3 --> S4[Stage 4: サンドボックス脱出<br/>ANGLE OOB Writeで<br/>GPUプロセスへ移行]
S4 --> S5[Stage 5: デーモン侵害<br/>AppleM2ScalerCSCDriverの<br/>COW脆弱性で<br/>mediaplaybackdに侵入]
S5 --> S6[Stage 6: カーネル特権昇格<br/>pe_main.jsがカーネルレベル<br/>の読み書きを確立]
S6 --> S7[Stage 7: インプラント注入<br/>SpringBoard/configd/wifid等<br/>複数プロセスにJSを注入]PAC(Pointer Authentication Code)バイパスの手法が特に巧妙だ。PACはApple Siliconが関数ポインタに暗号署名を付与してメモリ破壊攻撃を防ぐ仕組みだが、DarkSwordはdyld(動的リンカ)の内部構造が書き込み可能なスタックメモリ上に存在することを悪用し、TPRO(Trusted Path Read-Only)とPACの両方をすり抜ける。さらにスレッドステートの操作でSPRR(System Page Read-only Region Register)とJIT Cageの緩和策も無効化する。
GHOSTBLADEが窃取するデータ
最終段階で注入されるGHOSTBLADEデータマイナーは、端末からほぼ全てのデータを吸い出す。
| カテゴリ | 対象 |
|---|---|
| 認証情報 | キーチェーン全体(ユーザー/システム/バックアップ/デバイス) |
| 通信 | SMS/iMessage、通話履歴、連絡先 |
| メッセンジャー | Telegram、WhatsApp、Signal |
| 暗号資産 | 40以上のウォレットアプリ(Coinbase、MetaMask、Phantom、Ledger等) |
| ブラウジング | Safari履歴、ブックマーク、Cookie |
| 位置情報 | consolidated.db(位置履歴) |
| その他 | メール、メモ、カレンダー、写真メタデータ、ヘルスデータ、WiFi認証情報 |
WiFi認証情報の窃取では、wifidとsecuritydの2つのプロセスにそれぞれインジェクションを行うデュアル注入手法を使っている。
TA446の今回の攻撃における特異性
TA446/COLDRIVERはこれまで認証情報のフィッシングを主戦術としてきたグループだ。Proofpointは「TA446がiCloudアカウントやAppleデバイスを標的にするのを観測したのは今回が初めて」と明言している。流出したDarkSwordを取り込むことで、認証情報窃取からiOS端末への直接侵入へと攻撃能力が大きく拡張された。
もう一つの変化はC2(指揮統制)インフラだ。VirusTotalにアップロードされたDarkSwordローダーが escofiringbijou[.]com というドメインを参照しており、これがTA446に帰属する第二段階のC2ドメインとして特定されている。ただし、サンドボックス脱出コンポーネントの配信は確認されておらず、エクスプロイトチェーンの全段階を実戦で使い切れているかはまだ不明だ。
対策
Appleはすでに全コンポーネントのパッチを配布済みで、iOS 18.7.6またはiOS 26.3.1への更新で全ての悪用脆弱性に対応できる。また、古いiOS/iPadOSを実行しているデバイスにはロック画面通知で「Webベースの攻撃」への警告を表示するという異例の対応を取っており、Appleがこの脅威を広範な影響があると判断していることが窺える。
DarkSwordのGitHub流出により、国家支援グループに限らず幅広い攻撃者がiOSエクスプロイトチェーンにアクセスできる状態になっている。iOSデバイスのアップデートを先延ばしにするリスクは従来とは比較にならない。