今日は3本のニュースを取り上げます。iPhoneを遠隔操作できるエクスプロイトキット「DarkSword」がGitHubに流出し、旧バージョンのiOSを使っている端末は直ちにiOS 26.4への更新が必要です。ユナイテッドアローズでは元従業員が約1万人分の取引先個人情報を退職後に持ち出す事案が発生しました。また、Node.jsに深刻度Highを含む9件の脆弱性修正が公開されています。自社の端末管理・退職者対応・Webシステムの更新状況を確認してください。
NEWS 01
Google Threat Intelligence / Apple | 2026年3月23〜25日
iPhoneエクスプロイト「DarkSword」がGitHubに流出、iOS 26.4で37件の脆弱性を修正
Google脅威インテリジェンスチームが発見したiOS向けエクスプロイトキット「DarkSword」のコードが、2026年3月23日にGitHubで一般公開されました。DarkSwordは6つの脆弱性(うち3つはゼロデイ)を連鎖させてiPhoneを完全に制御できる攻撃ツールで、従来は国家支援型の攻撃者や商業スパイウェアベンダーが限定的に使用していたものです。
攻撃対象はiOS 18.4〜18.7を搭載した端末です。悪意のあるWebサイトにアクセスするだけでSafariのWebContentサンドボックスを突破し、WebGPU経由でシステムデーモン「mediaplaybackd」に侵入します。その結果、端末内のファイル・写真・メッセージ・位置情報などが窃取されます。流出したコードはHTMLとJavaScriptだけで構成されており、技術力の低い攻撃者でも短時間でフィッシングサイトを構築できる状態です。
Appleは3月25日にiOS 26.4をリリースし、CVEベースで37件の脆弱性を修正しました。カーネル脆弱性4件、WebKit関連8件が含まれます。最新OSにアップデートできない旧端末向けにはiOS 18.7.7(24件修正)も同日公開されています。
▌中小企業への影響
社用iPhoneを配布している企業は特に注意が必要です。OSバージョンが古いまま放置されている端末が1台でもあれば、フィッシングメールのリンクをタップするだけで業務データが外部に流出するリスクがあります。DarkSwordのコード公開により、攻撃のハードルが大幅に下がっています。
▌推奨対応(今すぐ実施)
- → 社用iPhone・iPadのOSバージョンを確認し、iOS 26.4(またはiOS 18.7.7)に更新する。「設定」→「一般」→「ソフトウェアアップデート」で確認できる
- → MDM(モバイルデバイス管理)を導入済みの場合は、未更新端末の一覧を取得し対応を指示する
- → MDM未導入の場合は、全社員にSlack・メール等でOSアップデートを依頼し、完了報告を求める
- → 私用端末で業務メール・チャットを利用している場合(BYOD)も同様にアップデートを周知する
NEWS 02
ユナイテッドアローズ | 2026年3月16日
ユナイテッドアローズ、元従業員が退職後に約1万人分の取引先個人情報を持ち出し
セレクトショップ大手のユナイテッドアローズは2026年3月16日、広報・PR活動に使用していた取引先関係者約1万人分の個人情報が漏えいしたと公表しました。原因は、2025年12月31日付で退職した元従業員が、退職後の2026年1月4日に外部PCへデータをダウンロードして持ち出したことです。
漏えいした情報は、氏名、勤務先企業名、所属部署、電話番号、メールアドレス、事業場の住所などです。1月6日に同社が検知し、翌7日に元従業員への事情聴取で持ち出しの事実が確認されました。2月27日に完了した外部機関の調査では、持ち出しデータの使用実績はなく、元従業員以外がデータを閲覧した形跡もないとされています。
同社は3月17日に情報を更新し、対象者に対する個別通知と謝罪を順次実施しています。再発防止策として、アクセス制限を含むシステムのセキュリティ強化、監視体制の見直し、社員教育の徹底を進めるとしています。
退職者によるデータ持ち出しが起きる典型パターン
| パターン |
手口 |
防止策 |
| 退職後のアカウント残存 |
退職日以降もクラウドサービスやVPNのアカウントが有効なままで、外部からアクセス |
退職日当日にアカウントを無効化するチェックリストを運用する |
| 在職中の事前コピー |
退職前にUSBメモリやクラウドストレージへ大量データをコピー |
USBデバイスの接続制限、DLP(データ損失防止)ツールの導入 |
| BYOD端末へのダウンロード |
私用PCやスマートフォンに業務データを保存し、退職時に持ち出す |
業務データへのアクセスを会社管理端末に限定する |
▌中小企業への影響
中小企業では退職者のアカウント管理が属人的になりがちで、退職後もクラウドサービスにログインできる状態が放置されるケースが少なくありません。「顧客リスト」や「取引先連絡帳」のような営業系データは転職先で利用価値が高いため、持ち出しの動機が生まれやすい情報資産です。IPAの「10大脅威2026」でも内部不正は4位にランクインしています。
▌推奨対応
- → 退職者のアカウント無効化チェックリストを作成する(メール・VPN・クラウドストレージ・業務SaaS全般)
- → 退職日当日に管理者がチェックリストに沿ってアカウントを停止し、完了記録を残す
- → 就業規則・秘密保持契約に「退職後の情報持ち出し禁止」と違反時の措置を明記する
- → 可能であれば、退職前2週間の大量データダウンロード等をログで確認する運用を入れる
NEWS 03
Node.js | 2026年3月24日
Node.jsに深刻度Highを含む9件の脆弱性、全LTSバージョンに影響しセキュリティアップデート公開
Node.js開発チームは2026年3月24日にセキュリティアドバイザリを公開し、CVEベースで9件の脆弱性に対処するアップデートをリリースしました。深刻度の内訳はHigh 2件、Medium 5件、Low 2件です。対象バージョンはNode.js 20.x(LTS)、22.x(LTS)、24.x(LTS)、25.x(Current)と広範囲にわたります。
主な脆弱性
| CVE |
深刻度 |
概要 |
| CVE-2026-21637 |
High |
TLS処理におけるリモートDoS。外部からNode.jsサーバーを停止させられる |
| CVE-2026-21710 |
High |
req.headersDistinct経由のDoS。HTTPリクエストヘッダーの処理に起因する |
| CVE-2026-21711 |
Medium |
Permission Modelのバイパス。アクセス制御が回避される可能性がある |
修正済みバージョンはNode.js 20.20.2、22.22.2、24.14.1、25.8.2です。サポート終了済みの旧バージョン(18.x以前)にも同様の脆弱性が存在する可能性があり、最新のLTSへの移行が推奨されています。
▌中小企業への影響
自社WebサイトやECサイト、社内ツールにNode.jsを使用している場合は対象になります。特にCVE-2026-21637のTLS DoSは、外部から公開サーバーをダウンさせられる脆弱性のため、ECサイトや顧客向けWebサービスを運用している企業は早急な対応が必要です。開発を外部委託している場合は、委託先にアップデート状況を確認してください。
▌推奨対応
- → サーバーでNode.jsを使用しているか確認する(
node -v コマンドで確認可能)
- → 使用中の場合は修正済みバージョン(20.20.2 / 22.22.2 / 24.14.1 / 25.8.2)へアップデートする
- → 外部委託でWebシステムを開発・運用している場合は、委託先に「Node.jsの3月24日セキュリティアップデート対応済みか」を確認する
- → Node.js 18.x以前を使用している場合はサポート終了済みのため、LTS版(20.x以降)への移行を計画する
編集部まとめ
今日の3本は「端末管理」「退職者管理」「システム更新」と、中小企業のIT管理における基本的な領域に直結するニュースです。DarkSword流出はiPhoneのOS更新を後回しにしている企業への警鐘であり、今週中に全社用端末のバージョン確認を完了させてください。ユナイテッドアローズの事案は「退職日にアカウントを止める」という当たり前のことが仕組み化されていないと起こる典型例です。Node.jsの脆弱性は自社で気づきにくい部分ですが、委託先への確認メール1本で対応が始まります。
対策の第一歩は「確認」です。端末のバージョン確認、退職者アカウントの棚卸し、委託先への問い合わせ。週明けに1つずつ着手してください。
参考情報
- Google Threat Intelligence Blog「The Proliferation of DarkSword: iOS Exploit Chain Adopted by Multiple Threat Actors」(2026年3月19日)
- Apple「About the security content of iOS 26.4 and iPadOS 26.4」(2026年3月25日)
- ユナイテッドアローズ「お取引先様の個人情報漏えいに関するお詫びとご報告」(2026年3月16日、3月17日更新)
- Node.js Security Advisory(2026年3月24日)
- Security NEXT「Node.jsにDoSなど複数脆弱性 - アップデートが公開」(2026年3月)
secure