iPhoneが普通のサイト閲覧だけで危険に？DarkSwordとiOS 18.7.7の異例対応を整理

そもそもDarkSwordとは何か

DarkSwordは、6つの脆弱性を組み合わせたフルチェーンのiOS攻撃ツールだ。「フルチェーン」というのは、ブラウザの脆弱性から始まって段階的に権限を奪い、最終的にOSの深部まで侵入できる一連の手順が揃っているという意味である。

特に怖いのは攻撃のトリガーだ。普通のウェブサイトを開くだけで感染が完了する。リンクを踏む、ファイルをダウンロードする、といった操作すら必要ない。攻撃者に乗っ取られた普通のサイト（飲食店のページや地域情報サイトなど）を開いた瞬間に、コードが実行される。

感染後に展開されるマルウェアは3種類確認されている。GhostBlade（大量データ窃取）、GhostKnife（バックドア）、GhostSaber（コード実行・データ窃取）だ。端末に保存されたメッセージ、パスワード、暗号ウォレット、Wi-Fi認証情報、位置情報履歴、ヘルスデータなどが根こそぎ持ち出される。

誰が使っているのか

DarkSwordはもともと商業スパイウェア事業者や国家支援の攻撃グループが使っていた。ところが状況が変わった。

さらに今年3月、研究者がDarkSwordのエクスプロイトキットをGitHubに公開してしまった。これにより「技術力の低い攻撃者」でも入手・利用できる状態になった。スパイウェアが一般犯罪ツールに降りてきた、という表現が正確だろう。

なぜこれだけ多くの端末が危険だったのか

問題は「アップデートしていないユーザー」だけではない。構造的な問題がある。

Appleのパッチポリシーの盲点

iOS 26がリリースされた2025年末、Appleは「iOS 26に移行できる端末」へのiOS 18アップデート提供を打ち切った。ところが、iOS 26のデザイン変更が不評で「あえてiOS 18にとどまった」ユーザーが一定数いた。この層は2026年のDarkSword対応パッチを受け取れない状態に置かれていた。

ゼロデイが先行していた

DarkSwordを構成する6つの脆弱性のうち、複数は悪用が始まった時点でまだパッチが存在しないゼロデイだった。「アップデートすれば安全」というのは後付けの話であり、2025年7月の最初の攻撃時点では何をしても防げなかった。

Appleの対応が「異例」だった理由

Appleは通常、セキュリティ修正を「最新OSへのアップグレード」と抱き合わせで提供する。古いバージョンにとどまっているユーザーには、新しいOSに上げることを促す形だ。今回はそのポリシーを破り、iOS 18のまま使い続けるユーザーにも単独でパッチを提供した。

これは技術的な判断だけでなく、ブランドリスクの判断でもある。「プライバシーとセキュリティを売りにする企業」が、数億台のデバイスをパッチなしで放置することは擁護しにくい。GitHubへの流出によって攻撃の裾野が広がった以上、動かざるを得なかったという側面もある。

自分の端末を確認するには

• 設定 → 一般 → ソフトウェア・アップデートで現在のバージョンを確認
• iOS 26対応端末なら、iOS 26へのアップグレードが最も確実な対策
• iOS 18を使い続ける場合は、18.7.7以降であることを確認
• 記者・活動家・機密情報にアクセスする職業の人は「ロックダウンモード」の利用も検討
• Safariのコンテンツブロッカーを有効にしておくと露出を多少減らせる

まとめ：「リンクを踏まなければ安全」の終わり

DarkSwordが示したのは、iOSの攻撃が「高度に標的を絞ったスパイウェア」から「一般犯罪ツール」へと移行しつつあるという現実だ。以前は「ジャーナリストや活動家が気をつければいい話」だったが、GitHubへの流出によって誰でも使えるようになった。

さらに深刻なのは、ユーザー側の行動では防げない攻撃だという点だ。普通のサイトを普通に開くだけで感染する。「怪しいリンクを踏まない」という従来のリテラシーが機能しない。

Appleが今回の異例対応に踏み切ったのは、iOSのセキュリティ神話を守るためでもあったと言えるかもしれない。ただ、この問題の構造的な解決——ゼロデイが悪用されている間に防ぐ手段——はまだない。OSをできるだけ最新の状態に保つことが、今のところ最も有効な対策であることに変わりはない。

※ 本記事執筆時点（2026年4月3日）の情報をもとにしています。CVE詳細はGoogle Threat Intelligence Group、Lookout、iVerifyの公開レポートを参照しました。