iOS攻撃チェーン「DarkSword」、暗号資産ウォレット情報も標的にした閲覧起点の攻撃が判明

iOSの脆弱性を悪用した攻撃チェーン「DarkSword」が発見される

グーグル脅威インテリジェンスグループ(Google Threat Intelligence Group:GTIG)が、iOS向けの攻撃チェーン「ダークソード(DarkSword)」を3月19日に公表した。これを受け、大手暗号資産(仮想通貨)取引所バイナンス(Binance)系の「Binance News」も3月20日、暗号資産ユーザーに向けて注意喚起を行った。GTIGによると、ダークソードは単一の脆弱性ではなく、複数の脆弱性を連鎖的に悪用するフルチェーン攻撃であり、iOS 18.4〜18.7系の未修正版環境が標的になりうるという。

この攻撃は特定の取引所やウォレットアプリケーションに関連したものではなく、iOSのシステムレベルでの問題だ。攻撃者は侵害された正規のウェブサイトや偽装サイトを通じてこの攻撃チェーンを悪用できるという。アイベリファイ(iVerify)はこれを「1クリック型」の攻撃キットとして説明しており、ユーザーがページを閲覧すると追加操作なしで発動しうる。また、暗号資産ウォレット情報を含む機密データを抽出できる可能性がある。さらに、マルウェアは実行後にクラッシュログや生成ファイルなどの痕跡を削除するため、検出が困難になるという。なおアイベリファイは、iOSデバイスのセキュリティを監視し、潜在的な脆弱性を検出するためのアプリケーションだ。

GTIGの調査によると、ダークソードは複数のゼロデイ脆弱性を組み合わせた完全な攻撃チェーンであり、少なくとも2025年11月から使用されているという。この攻撃チェーンは、商用監視ベンダーや国家支援の疑いのあるグループを含む複数の攻撃者によって採用されている。サウジアラビア、トルコ、マレーシア、ウクライナのユーザーを標的としたキャンペーンが確認されており、侵害されたウェブサイトや偽装されたウェブサイトを通じて悪意のあるコードを配信していたという。

技術的には、ダークソードは6つの脆弱性を組み合わせて影響を受けるデバイスを完全に制御し、ゴーストブレード(GHOSTBLADE)、ゴーストナイフ(GHOSTKNIFE)、ゴーストセイバー(GHOSTSABER)などのマルウェアを展開する。これらは、アカウント認証情報、通信、位置履歴、暗号資産ウォレット情報などの広範なデータを抽出できる。ただし一次情報で確認できる削除対象は、主にクラッシュログや攻撃側が生成したファイルである。

特に関連ペイロードは、主要な暗号資産取引所アプリであるコインベース(Coinbase)、バイナンス、クラーケン(Kraken)、クーコイン(KuCoin)、OKX、MEXCなどや、人気の暗号資産ウォレットアプリケーションであるレジャー(Ledger)、トレザー(Trezor)、メタマスク(MetaMask)、エクソダス(Exodus)、ユニスワップ(Uniswap)、ファントム(Phantom)、ノーシスセーフ(Gnosis Safe)などを探索するという。同時にSMSやiMessage、通話履歴、連絡先、Wi-Fiパスワード、SafariのCookieと閲覧履歴、位置情報、Healthデータ、写真、保存されたパスワード、テレグラム(Telegram)とワッツアップ(WhatsApp)のメッセージ履歴なども取得対象になりうる。

このマルウェアは長期的な監視ではなく迅速なデータ窃取を目的に設計されており、利用可能なデータを収集・送信した後、ファイルを削除して自ら終了する傾向があるという。

バイナンス系アカウントは、この攻撃がページ閲覧をきっかけに自動実行されうることから影響が大きいと注意喚起している。ユーザーに対しては、最新のiOSアップデートのインストール、信頼できないリンクやウェブサイトへの露出の制限、アプリケーション権限の確認、二要素認証や出金ホワイトリストなどのアカウント保護の強化が推奨されている。

なおバイナンス系アカウントは、「セキュリティはエコシステム全体の基盤であり、ユーザー資産の保護が最優先されなければならない」として、バイナンスユーザーだけでなくすべてのユーザーとこの警告を共有する必要があると説明している。

アップルは、最新のOSを利用することが安全維持に最も重要だとしており、関連する悪性ドメインはSafariのSafe Browsingでも遮断している。また、関連脆弱性は複数回のアップデートで対処済みである。

画像:PIXTA

関連ニュース

参照元:ニュース – あたらしい経済

コメント

タイトルとURLをコピーしました