⚠️ iPhoneユーザーに緊急のお知らせです。
2026年3月、Googleの脅威分析チーム(GTIG)やセキュリティ企業Lookout・iVerifyが、iPhoneを狙う極めて危険なスパイウェア「DarkSword(ダークソード)」と「Coruna(コルナ)」の存在を公表しました。しかもDarkSwordの設計コードがGitHubに流出し、誰でもダウンロードできる状態になっています。改ざんされたWebサイトを「ただ見ただけ」でiPhoneが完全に乗っ取られ、数秒でデータを根こそぎ奪われる——これは映画の話ではなく、今まさに起きている現実です。この記事では、DarkSwordとCorunaの仕組み、感染のサイン、抜かれるデータ、そして今すぐやるべき対策をわかりやすく解説します。
📋 この記事の内容
1. DarkSwordとCorunaがiPhoneを狙っている — 何が起きているのか?
2026年3月、セキュリティ業界に衝撃が走りました。Google、Lookout、iVerifyの3社が相次いで、iPhoneを狙った2つの高度なハッキングツールの詳細を公表したのです。
まず発見されたのが「Coruna(コルナ)」。iOS 13からiOS 17.2.1までの幅広いバージョンを対象とし、23もの脆弱性を悪用する史上初の「大量攻撃型」iOSエクスプロイトキットです。ロシアの国家支援型ハッカーグループ「UNC6353」がウクライナの人々を標的に使用していたことが確認されました。
続いて発覚したのが「DarkSword(ダークソード)」。こちらはiOS 18.4〜18.7という比較的新しいバージョンを標的にし、6つの脆弱性(うち3つがゼロデイ)を連鎖的に悪用してiPhoneを完全に制圧します。サウジアラビア、トルコ、マレーシア、ウクライナで攻撃が確認されています。
そして最も深刻な事態が起きました——DarkSwordのコードの一部がGitHubに流出したのです。これにより、高度な技術を持たない犯罪者でもこの「軍事級の武器」を手に入れることが可能になりました。セキュリティ専門家はこれを「エクスプロイトの民主化」と呼び、深刻な脅威として警告しています。iVerifyの推定によると、約2億2,100万台〜最大約2億9,600万台のiPhoneが脆弱な状態にあるとされています。
▼ CorunaとDarkSwordの比較
| 項目 | Coruna(コルナ) | DarkSword(ダークソード) |
| 対象iOSバージョン | iOS 13 〜 17.2.1 | iOS 18.4 〜 18.7 |
| 悪用する脆弱性の数 | 23件(うち約11件がゼロデイ) | 6件(うち3件がゼロデイ) |
| 攻撃手法 | 改ざんサイト経由のドライブバイ攻撃 | 改ざんサイト・偽サイト経由のドライブバイ攻撃 |
| 主な攻撃者 | UNC6353(ロシア系)、金銭目的グループ | UNC6353、PARS Defense顧客、商業スパイウェア企業 |
| 特徴 | 古いiOSの広範囲をカバー | 「ヒット・アンド・ラン」方式で痕跡を消去 |
2. DarkSwordとCorunaとは何か?
Coruna(コルナ)— 古いiPhoneを狙う「広域兵器」
Corunaは、iOS 13から17.2.1までの旧バージョンを対象とした攻撃ツールです。もともとはアメリカの防衛企業L3Harris傘下の「Trenchant」というハッキング部門が開発した商用スパイウェアでしたが、何らかの経路で闇市場に流出。ロシアのスパイグループや中国系のサイバー犯罪者の手に渡ったとされています。
23もの脆弱性を組み合わせて攻撃するという、極めて複雑なエクスプロイトチェーンが特徴です。セキュリティ企業Kasperskyは、Corunaに含まれる一部のエクスプロイトをかつての「Operation Triangulation」(ロシアのiPhoneユーザーを標的にした高度な攻撃)と関連づけています。
DarkSword(ダークソード)— 最新iOSを突破する「精密兵器」
DarkSwordはiOS 18.4〜18.7を標的とする最新のエクスプロイトキットです。攻撃はSafariブラウザを起点に始まり、以下のステップで進行します。
Step 1:ユーザーが改ざんサイトや偽サイトにアクセス(Snapchat風サイトや政府系サイトを偽装)
Step 2:隠しiframeが読み込まれ、JavaScriptがデバイスのiOSバージョンを特定
Step 3:Safari(WebKit)の脆弱性を悪用してリモートコード実行を獲得
Step 4:サンドボックスを脱出し、WebGPU経由でmediaplaybackdに侵入
Step 5:カーネルの脆弱性を突いてOS全体の制御権を掌握
Step 6:データを一気に窃取し、自らの痕跡を消去して撤退
全工程がJavaScriptで書かれており、コード内にはLLM(大規模言語モデル)で生成されたとみられるコメントが多数含まれていたことも話題になりました。つまり、AIの力を借りて開発されたスパイウェアである可能性が高いのです。
悪用されている6つの脆弱性(CVE番号)は以下のとおりです。
| CVE番号 | 概要 |
| CVE-2025-31277 | WebContent JIT脆弱性(メモリ読み書き) |
| CVE-2025-43529 | WebContent JIT脆弱性(メモリ読み書き) |
| CVE-2026-20700 | TPRO/PAC保護バイパス・任意コード実行 |
| CVE-2025-14174 | サンドボックス脱出 |
| CVE-2025-43510 | カーネルメモリ操作 |
| CVE-2025-43520 | カーネル特権昇格(CVSS 8.6) |
3. 感染した場合のサインはあるのか?
結論から言うと、DarkSwordの感染を自分で気づくのは極めて困難です。
DarkSwordの最大の特徴は「ヒット・アンド・ラン」戦略です。感染するとデバイス内のデータを数秒〜数分で一気に収集・送信し、完了後に自らの痕跡を消去して撤退します。従来のスパイウェアのようにデバイスに常駐して監視し続けるわけではないため、フォレンジック(デジタル鑑識)でも発見が難しいのが現実です。
とはいえ、一般的なスパイウェア感染で現れる可能性のある兆候は知っておくべきです。
🔍 スパイウェア感染が疑われる一般的なサイン
・バッテリーの異常な消耗(使い方を変えていないのに減りが早い)
・データ通信量の不自然な増加
・端末が異常に発熱する
・身に覚えのないアプリやプロファイルが存在する
・カメラやマイクのインジケーターが勝手に点灯する
・端末が勝手に再起動を繰り返す
ただしDarkSwordに関しては、これらの症状がほとんど出ない可能性が高いです。なぜなら、データを奪い終えた瞬間に自分自身を消去してしまうからです。「何も異常がないから安全」とは言い切れない——これがDarkSwordの最も恐ろしいポイントです。
もしジャーナリスト、活動家、企業の機密情報を扱う立場の方で、不安がある場合は、iVerifyなどの専門的なモバイルセキュリティツールの利用や、デジタルフォレンジック専門業者への相談を検討してください。
4. どんな情報が抜かれてしまうのか?
DarkSwordに感染した場合、iPhoneの中身は文字どおり「丸裸」にされます。Googleが確認した3つのペイロード(GhostBlade、GhostKnife、GhostSaber)は、それぞれ異なる攻撃者向けに調整されていますが、窃取対象は非常に広範です。
| カテゴリ | 盗まれるデータの例 |
| メッセージ・通信 | SMS、iMessage、LINE、WhatsApp、Telegram、メール |
| 認証・資格情報 | キーチェーン内のパスワード、暗号化キー、Wi-Fi認証情報 |
| 金融・仮想通貨 | 仮想通貨ウォレットアプリのデータ、取引所アカウント情報 |
| 個人データ | 写真、カレンダー、メモ、連絡先、ヘルスケアデータ |
| 位置・行動情報 | リアルタイム位置情報、位置履歴、Safari閲覧履歴 |
| クラウド | iCloudコンテンツ、インストール済みアプリ一覧、アカウント情報 |
特に注目すべきは仮想通貨ウォレットを集中的にターゲットにしている点です。Lookoutの分析によれば、DarkSwordは多数の暗号通貨関連アプリのデータを明確に標的にしており、金銭目的の犯罪者にも利用されていることを示唆しています。
つまり、「自分は重要人物じゃないから大丈夫」という考えは完全に間違いです。仮想通貨やネットバンキングを利用している一般ユーザーも、十分に標的になり得るのです。
5. 今すぐアップデートしましょう!具体的な手順と追加防御策
Apple自身が公式サポート文書で「ソフトウェアを最新に保つことが、Apple製品のセキュリティ維持のために最も重要」と明言しています。DarkSwordが悪用する脆弱性はすべて最新のアップデートで修正済みです。
✅ 最優先:iOSを最新バージョンにアップデート
1. 「設定」アプリを開く
2. 「一般」→「ソフトウェアアップデート」をタップ
3. 利用可能なアップデートが表示されたら「ダウンロードしてインストール」
4. 「自動アップデート」がONになっていることも確認
現時点で推奨されるバージョンはiOS 26.3.1(最新系列)またはiOS 18.7.6(iOS 18系列の最新)です。どちらもDarkSwordの脆弱性に対するパッチが含まれています。
🛡️ 追加対策:ロックダウンモードの有効化
すぐにアップデートできない環境の方や、ジャーナリスト・活動家など高リスクな立場の方には、ロックダウンモードの有効化を強くお勧めします。これはiPhoneを「要塞化」する機能で、Webコンテンツの複雑な処理を制限することでDarkSwordのような攻撃の入り口を物理的に塞ぎます。
Appleは「ロックダウンモードを有効にしたデバイスがスパイウェア攻撃に成功裏に侵害されたケースは、これまで確認されていない」と述べています。
ロックダウンモードの設定方法:
「設定」→「プライバシーとセキュリティ」→「ロックダウンモード」→「ロックダウンモードをオンにする」→ iPhoneを再起動
📋 その他やっておくべきこと
・不審なリンクやSNSで見慣れないURLは開かない
・「設定」→「一般」→「VPNとデバイス管理」で見覚えのないプロファイルがないか確認
・重要なアカウント(Apple ID、銀行、仮想通貨取引所)のパスワードを変更
・二要素認証がすべてのアカウントで有効になっているか確認
・Safariの履歴とWebサイトデータを定期的に削除する
まとめ:「アップデートしていないiPhone」は今、最も危険な状態
CorunaとDarkSwordの同時発覚は、iPhoneのセキュリティ神話に大きな一石を投じました。かつては国家レベルの攻撃者しか使えなかった「iPhoneを完全制圧するツール」が、今や闇市場で流通し、GitHubにまで流出している——これが2026年の現実です。
しかし逆に言えば、対策はシンプルです。iOSを最新にアップデートする。たったこれだけで、DarkSwordとCorunaの両方から身を守ることができます。
📱 今すぐ「設定」→「一般」→「ソフトウェアアップデート」を確認してください
あなたの個人情報、お金、プライバシーを守れるのは、あなた自身のアクション次第です。
この記事が参考になったら、ぜひ家族や友人にもシェアしてください。「アップデートしていないiPhoneが一番危ない」——この事実を、一人でも多くの人に知ってもらうことが、最大の防御になります。
