スパイが使用したApple iPhoneハッキングキット、暗号詐欺は米国の情報機関に起源を持つ可能性

要約

• Googleは、23の脆弱性を含む高度なiOSエクスプロイトキット「Coruna」を特定しました。
• このツールキットは、疑われるロシアのスパイや中国の暗号詐欺師によって使用されていました。
• セキュリティ企業iVerifyは、コード内の手がかりから、米国の情報機関の契約者が起源である可能性を示唆しています。

Googleの脅威情報グループ（GTIG）は、ユーザーが悪意のあるウェブサイトを訪れるだけで感染させることができる強力なiPhoneハッキングツールキットを発見しました。これにより、ターゲットが何かをクリックしなくてもマルウェアが転送される可能性があります。 このフレームワークは「Coruna」と名付けられ、iOS 13から17.2.1を実行しているiPhoneを対象に、5つの完全なエクスプロイトチェーンと23の脆弱性を含んでいます。研究者たちは、一部のエクスプロイトがAppleのセキュリティ保護を回避するために、これまでに見られなかった手法に依存していると述べています。

CorunaエクスプロイトキットはiOSを標的としています。

Corunaは、iOS 13-17.2.1を実行しているAppleデバイスに対して23のエクスプロイトを利用します。これはスパイ活動や、暗号通貨を盗むために経済的動機を持つ者によって使用されています。

iOSデバイスを更新し、この脅威について詳しく知る：https://t.co/c7QRDPWMKI pic.twitter.com/l8rK9ZOLsw

— Mandiant（Google Cloudの一部） (@Mandiant) 2026年3月3日

GTIGは、2025年初頭に、未公表の商業監視ベンダーの顧客が使用したエクスプロイトチェーンの一部としてツールキットを最初に特定しました。コードは、JavaScriptフレームワークを使用してデバイスを識別し、iPhoneのモデルとOSバージョンを特定した後、適切なエクスプロイトを提供していました。 同じフレームワークは、その後、2025年中頃に侵害されたウクライナのウェブサイト上に現れました。Googleは、そのキャンペーンをロシアのスパイグループと疑われるUNC6353に帰属させ、隠されたiframeを使って訪問者のiPhoneを選択的に標的にしていたと述べています。 その後、研究者たちは、暗号通貨や金融詐欺に関連する中国語のウェブサイト数百か所で再びツールキットを発見しました。これらのサイトは、被害者をiOSデバイスで訪問させ、エクスプロイトキットを注入しようと試みていました。 報告書によると、Corunaで使用された脆弱性は、Appleの最新のモバイルOSバージョンで修正されており、ユーザーにデバイスの更新を促しています。このエクスプロイトキットは、最新のiOSバージョンには効果がありません。 米国起源の可能性 GITGの報告書は、元の監視ベンダーの顧客や開発者については特定していませんが、iVerifyのセキュリティ専門家は、コードの要素から米国起源の可能性を示唆しています。

「非常に高度で、開発には数百万ドルかかり、公開されている他のモジュールと特徴が似ていることから、米国政府に帰属されることが多い」とiVerifyの共同創設者ロッキー・コールは_WIRED_に語りました。彼はまた、「非常に可能性が高い米国政府のツール」が、制御を失いつつあるサイバー犯罪グループや敵対者によって採用されている最初の例だとも述べました。 iVerifyは、中国語の詐欺ウェブサイトに関連するコマンド＆コントロールサーバーへのトラフィックを分析した結果、約42,000台のデバイスが一つのキャンペーンで侵害されたと推定しています。 このツールキットは、AppleのWebKitブラウザエンジンの脆弱性を標的とし、デバイスモデルとOSバージョンに応じて異なるエクスプロイトチェーンを展開するローダーを含んでいます。ペイロードは暗号化され、圧縮され、検出を回避するためにカスタムファイル形式で配信されます。 「iPhoneユーザーは、最新のiOSにアップデートすることを強く推奨します」とGTIGは述べ、アップデートが不可能な場合はAppleのロックダウンモードが追加の保護を提供できると付け加えました。