Googleの脅威情報は、「Ghostblade」と名付けられた新しい暗号資産盗用マルウェアを検出しました。これはApple iOSデバイスを標的としています。DarkSwordファミリーのブラウザベースツールの一部として説明されており、Ghostbladeはデバイス上に常時存在するのではなく、迅速かつ目立たずに秘密鍵やその他の機密データを吸い出すように設計されています。
JavaScriptで作成されたGhostbladeは、感染したデバイスを起動し、データを収集して悪意のあるサーバーに送信し、その後シャットダウンします。研究者は、このマルウェアの設計が検出を困難にしていると指摘しており、追加のプラグインを必要とせず、データ抽出が完了すると動作を停止するためです。Googleの脅威情報チームは、GhostbladeがAppleのテレメトリシステムに警告を送るクラッシュレポートを削除することで、検出を回避する措置も取っていると強調しています。
秘密鍵だけでなく、マルウェアはiMessage、Telegram、WhatsAppのメッセージングデータにアクセスし、送信することも可能です。さらに、SIMカード情報、ユーザーの身元情報、マルチメディアファイル、位置情報、システム設定へのアクセスも行えます。Ghostbladeが属するDarkSwordフレームワークは、攻撃者が暗号資産ユーザーを標的とするツールキットを継続的に洗練させている進化の一例として、Googleによって引用されています。
脅威動向を追う読者にとって、GhostbladeはGoogle脅威情報が説明するDarkSwordのiOSエクスプロイトチェーンの他のコンポーネントと並んで位置付けられます。これらのツールは、暗号詐欺キャンペーンで使用されるiOSベースのエクスプロイトキットに関する報告とともに、暗号脅威の進化の一環として観察されています。
主要なポイント
Ghostbladeは、DarkSwordエコシステムの一部として提供される、iOS向けのJavaScriptベースの暗号資産盗用脅威であり、高速なデータ抽出を目的としています。
短時間かつ断続的に動作し、長期的なデバイスの侵入や検出の難易度を低減します。
iMessage、Telegram、WhatsAppからの機密データを中継し、SIM情報、身元情報、マルチメディア、位置情報、システム設定にアクセスでき、クラッシュレポートも消去して発見を回避します。
この開発は、ソフトウェアの脆弱性だけでなく、人間の行動を利用したソーシャルエンジニアリングやデータ抽出の手法にシフトしている脅威の全体的な動向と一致しています。
2026年2月の暗号ハッキング被害額は、1月の3億8500万ドルから大きく減少し、4900万ドルとなりました。これは、コードベースの侵入からフィッシングやウォレット汚染といった手法への移行を示しています(Nominis調査)。
GhostbladeとDarkSwordエコシステム:現状
Googleの研究者は、GhostbladeをDarkSwordファミリーの一部と位置付けています。これは、暗号資産ユーザーを標的とし、秘密鍵や関連データを盗むブラウザベースのマルウェアツール群です。GhostbladeのJavaScriptコアは、デバイスと迅速にやり取りしながらも軽量で一時的な動作を可能にしています。この設計は、長期感染よりも迅速なデータ抽出を重視する他の最近のオンデバイス脅威と一致しています。
実際には、マルウェアの能力は単なる鍵の盗用を超えています。iMessage、Telegram、WhatsAppといったメッセージングアプリにアクセスし、会話や認証情報、潜在的に機密性の高い添付ファイルを傍受できます。SIMカード情報や位置情報へのアクセスも攻撃の範囲を広げ、より包括的な身元盗用や詐欺のシナリオを可能にしています。さらに、クラッシュレポートの消去機能は活動を隠蔽し、感染後のフォレンジック調査を困難にしています。
このように、Ghostbladeは、ブラウザベースのツールとモバイルOSの機能を融合させた攻撃チェーンの一例として、継続的に進化する脅威情報の一端を示しています。Google脅威情報は、DarkSwordを、ユーザーがデバイスや日常的に利用するアプリに対する信頼を悪用したiOS攻撃チェーンの最新例と位置付けています。
コード中心の侵入から人間要素を狙った攻撃へ
2026年2月の暗号ハッキングの動向は、攻撃者の行動に明確な変化を示しています。Nominisによると、2月の暗号ハッキング被害額は4900万ドルに減少し、1月の3億8500万ドルから大きく下落しました。これは、純粋なコードベースの脅威から、フィッシングやウォレット汚染など人間の誤りを突く手法へのシフトによるものと分析しています。
フィッシングは依然として主要な手口です。攻撃者は、正規のプラットフォームに似せた偽サイトを作成し、実際のサイトを模倣したURLを用いてユーザーを誘導し、秘密鍵やシードフレーズ、ウォレットパスワードの入力を促します。ユーザーがこれらの偽インターフェースに入力や承認を行うと、攻撃者は資金や認証情報に直接アクセスできます。この人間ターゲットの攻撃手法の増加は、取引所やウォレット、ユーザー側の防御策に新たな課題をもたらしています。ユーザー教育と技術的対策の両面が重要です。
この動向は、ソフトウェアの脆弱性やゼロデイ攻撃が成熟する一方で、暗号資産のリスクの多くが、信頼、緊急性、馴染みのあるインターフェースを悪用した社会工学的攻撃に移行していることを示しています。業界関係者にとっては、ソフトウェアのパッチ適用だけでなく、人間のセキュリティ意識の向上や、より安全なウォレットの導入、認証強化が求められています。
ユーザーや開発者への示唆
Ghostbladeの登場と、それに伴う人間中心の攻撃の傾向は、ユーザーや開発者にとっていくつかの実用的な教訓を示しています。まず、デバイスの衛生状態を保つことが重要です。iOSを最新状態に保ち、アプリやブラウザのセキュリティ対策を施し、ハードウェアウォレットやセキュアエンクレーブを利用して秘密鍵を保護することで、迅速なデータ抽出攻撃に対抗できます。
次に、メッセージングアプリやウェブ上の操作には特に注意を払う必要があります。デバイス上のデータアクセスとフィッシング的な欺瞞が融合しているため、リンクを開く、許可を与える、シードフレーズを貼り付けるといった行為も、盗難の入り口となり得ます。多要素認証や認証アプリ、バイオメトリクスによる保護もリスク低減に役立ちますが、何よりも予期しないプロンプトに対して疑念を持つ教育が重要です。
開発者にとっては、フィッシング対策や安全な鍵管理フロー、敏感な操作時のユーザー警告の徹底が求められます。また、ブラウザベースのツールとモバイルOSの機能を融合させたオンデバイス脅威に関する情報共有の継続も重要です。業界横断の協力により、新たな攻撃チェーンの早期発見と対策が可能となります。
今後の注目点
Google脅威情報や他の研究者は、DarkSwordに関連した活動の追跡を続けており、iOSのエクスプロイトチェーンや類似のステルス性の高い短時間マルウェアの出現に注目すべきです。2026年2月の動きは、技術的な防御策とともに、ユーザー向け教育の強化が必要な未来を示唆しています。次の重要な動きとしては、iOSの暗号資産脅威に関する公式の脅威情報アドバイザリ、新たなセキュリティベンダーの検出報告、主要プラットフォームのフィッシング・詐欺防止策の変化などが挙げられます。
その間も、Google脅威情報のDarkSwordや関連iOSエクスプロイトに関する報告、Nominisやその他のブロックチェーンセキュリティ研究者による分析を注視し続けることが、リスク評価と防御強化に不可欠です。
この記事は、Crypto Breaking Newsの信頼できる情報源として、Google脅威情報がGhostbladeを暗号資産盗用マルウェアとして警告した内容を元にしています。
