概要

• CorunaはiPhoneを標的とする極めて高度なハッキングツールキット。
• 元は国家機関向けと推測されるが、サイバー犯罪者にも流出。
• ロシア諜報機関や中国語圏の仮想通貨窃盗にも悪用事例。
• 開発元や流出経路には米国政府関与の疑いも指摘。
• Appleは最新iOSで修正済みだが、数万台規模の被害が推定。

Coruna：iPhoneを狙う前例なきハッキングツールの流出と拡散

• Corunaは、iPhoneユーザーがウェブサイトを閲覧するだけで端末を乗っ取る極めて稀な攻撃手法。

• Googleのセキュリティ研究者が発見し、23個のiOS脆弱性を悪用する5つの異なる攻撃手法を内包。

• 国家レベルのリソースを持つグループが開発したと推測される完成度。

• 2023年2月には「監視企業の顧客」による利用、5ヶ月後にはロシアのスパイグループによるウクライナ人標的の事例を確認。

• さらに中国語圏の仮想通貨やギャンブルサイトを経由し、サイバー犯罪者による金銭目的の攻撃にも転用。

• iVerify社の調査では、米国政府向けに開発・販売された可能性を指摘。

• Corunaは、2023年にロシアのKaspersky社を標的とした「Triangulation」作戦の攻撃モジュールと複数の共通点。

• コードは英語話者による記述、数百万ドル規模の開発コスト、米国政府の他ツールとの類似性が指摘。

• 「EternalBlue」のように、国家機関用ツールが流出しサイバー犯罪に悪用されるリスクを示唆。

  • EternalBlueはNSAから流出し、WannaCryやNotPetyaなど甚大な被害をもたらしたWindowsハッキングツール。

• CorunaはiOS 13～17.2.1のWebkit脆弱性を悪用、Safari利用者が主な標的。

• AppleはiOS 26で脆弱性を修正済み。

• Lockdown Mode有効時は攻撃を回避。

• iVerifyの推計では、中国語圏サイト経由だけで約42,000台が感染。

• ウクライナ標的やその他の被害規模は不明。

Corunaのコード分析と流出経路

• iVerifyの分析によると、サイバー犯罪者版Corunaは仮想通貨ウォレットからの資金窃取や写真・メールの盗難を目的としたマルウェアを追加。
  • 追加マルウェア部分は粗雑だが、Coruna本体は極めて洗練されモジュール化。
• Corunaのコードは「単一のプロフェッショナルな著者」による一貫した設計と推測。
• Triangulationとのコード重複については、後から流用された可能性もあるが、未発見の独自コンポーネント多数。
• Corunaが米国政府向けツールだった場合、流出経路は不明。
  • ゼロデイ脆弱性売買市場の存在、仲介業者による再販や二重売りが常態化。
  • 米国Trenchant社の元幹部がロシアのゼロデイブローカーへツールを販売し有罪判決（2022～2025年）という事例も。
  • Five Eyes（米・英・豪・加・NZ）諸国向けツール販売の実態。
• ゼロデイやエクスプロイト仲介業者は最高額入札者に販売し、独占契約も少ない。
• 結果的に、国家機関用ツールが犯罪組織や敵対国に流出し、制御不能な状態に。

まとめ：Coruna事件が示すモバイルセキュリティの新たな脅威

• Coruna事件は、国家機関用の極めて高度なiPhoneハッキングツールがサイバー犯罪者や敵対国に渡る危険性を現実のものとした。
• ゼロデイ市場や仲介業者の存在が、グローバルなサイバーリスク拡大の温床。
• Appleによる最新iOSでの修正が進む一方、過去バージョン利用者への脅威は依然残存。
• 今後も同様のツール流出・悪用リスクに備えるためのセキュリティ体制・脆弱性管理の重要性が再認識される事例。