Googleが最新で公開したDarkSword iOS攻撃チェーンは、単なる一般的なサイバーセキュリティ事件にとどまらず、暗号通貨ユーザーの資産安全に直接影響を及ぼす可能性もある。この一連の攻撃ツールは、複数のゼロデイ脆弱性を利用して構築されており、商業用スパイウェアや国家レベルのハッカー組織によって広く使用されている。さらには、iPhoneを完全に制御し、ウォレットや敏感な情報にアクセスすることも可能だ。
モバイルデバイスがWeb3の主要な入り口となるにつれ、iOSを標的とした高度な攻撃は、暗号資産を扱うユーザーにとってかつてないリスクをもたらしている。
DarkSwordとは何か?複数の脆弱性を連結して「完全侵入」攻撃チェーンを構築
Google Threat Intelligence Group(GTIG)の分析によると、DarkSwordは単一のマルウェアではなく、高度にモジュール化されたiOS攻撃チェーンの総称である。攻撃者は、複数の脆弱性(ゼロデイを含む)を連結させ、ユーザーが悪意のあるリンクをクリックした段階から、段階的にiPhoneのセキュリティ防護を突破していく。
この「脆弱性連鎖(exploit chain)」の仕組みは、異なる脆弱性を組み合わせて使用し、最初の権限を取得した後、システムのコアに向けて段階的に権限を昇格させ、最終的に完全な制御を実現することにある。
研究によると、DarkSwordはiOSのサンドボックスや権限制限を回避し、ハッカーが短時間でデバイスのすべてのデータと機能を掌握できるようにする。
監視だけではない:暗号通貨ウォレットや秘密鍵も漏洩の危険
従来のスパイウェアと異なり、DarkSwordの脅威範囲はデジタル資産の領域にまで拡大している。
実際の観測では、攻撃者は以下の情報にアクセスできることが示されている。
・メッセージ内容やアカウントログイン情報
・閲覧履歴や認証情報
・GPS位置情報やデバイスの活動履歴
・マイクやセンサーのデータ
・暗号通貨ウォレットの情報や証明書
これにより、ユーザーがWeb3ウォレットや秘密鍵、助記詞をスマートフォンに保存している場合、侵入されると資産が気付かぬうちに移動されるリスクがある。
一部の変種(例:GhostKnife)は、遠隔からコマンドを実行できる能力も備え、資産盗難のための監視と攻撃を継続的に行うことが可能だ。
攻撃の産業化:スパイウェア企業とハッカーがツールを共有
DarkSwordのもう一つの重要な特徴は、その「武器化と商業化」が非常に進んでいる点だ。
Googleは、この攻撃チェーンが複数の組織に採用されていることを指摘している。これには、商業的な監視企業や、疑わしい国支援のハッカーグループも含まれる。これらの勢力は、同一のフレームワークを基に、GhostSaberやGhostKnifeなどの異なるバージョンのマルウェアモジュールを開発している。
このモデルは、高度なハッカー技術が少数の国家機関から解放され、多くの組織や個人が購入・利用できる「サイバーセキュリティ商品」へと変貌していることを示している。
暗号資産界にとっては、攻撃のハードルが下がり、潜在的な標的も大きく拡大している。
数億台のiPhoneが危険にさらされ、Web3ユーザーはより警戒を
調査によると、影響を受けるiPhoneの台数は2億2000万から2億7000万台に上ると推定されており、特定のiOSバージョンのユーザーが対象となっている。
多くのユーザーがシステムのアップデートを即時に行わないため、脆弱性は修正後も悪用され続け、「パッチ遅延」の典型的な問題を引き起こしている。
現在、攻撃活動は複数の地域で確認されており、一部は悪意のあるウェブサイトや偽装ページを通じて拡散されている。一般ユーザーも気付かぬうちに感染する可能性がある。
特に、DeFiやNFT、取引を頻繁に行うユーザーにとっては、リスクはより直接的だ。
Appleは修正済みだが、「ウォレットリスク」は依然解消されていない
Appleは関連する脆弱性に対してセキュリティアップデートをリリースし、一部の悪意あるソースをブロックしている。しかし、セキュリティ専門家の間では、リスクは完全には解消されていないと一般的に見られている。
その理由は、DarkSwordタイプの攻撃は高度に複製や変種が可能であり、一度技術が流出すれば、より多くのハッカーに再利用される可能性があるためだ。
また、地下市場におけるエクスプロイトツールの需要は引き続き高く、こうした攻撃の拡散を容易にしている。
この記事は、「iPhone爆発的な高危険脆弱性『DarkSword』:ハッカーが暗号通貨ウォレットと秘密鍵を盗取、暗号資産界の新たな標的」として、最初に鏈新聞ABMediaに掲載された。
