Google の Threat Intelligence Group は、Coruna と呼ばれる高度な iOS エクスプロイトフレームワークに関する調査結果を公開した。このフレームワークには 5 本の完全なエクスプロイトチェーンにまたがる 23 件の脆弱性が含まれており、2025 年を通じてロシアのスパイ活動に関与していると疑われるオペレーターや、中国人の暗号資産詐欺グループによって悪用されていた。
モバイルセキュリティ企業 iVerify は別途、コードベースが米国政府開発ツールの特徴を備えていると結論付けており、国家レベルの iOS 能力が大規模な犯罪利用向けに再利用された初の事例である可能性が高いと述べている。
Coruna によって悪用された脆弱性は、現行の iOS バージョンではすべて修正済みだ。2023 年 12 月までにリリースされた iOS 17.2.1 以前を実行しているデバイスが影響範囲となる。
何が起きたのか
Google は 2025 年を通じて、3 つの別個のオペレーターによる Coruna の活動を追跡した。最初に確認されたのは 2 月で、名前が明かされていない商用監視ベンダーの顧客が用いたエクスプロイトチェーンの一部としてだった。
夏までには、同一の JavaScript フレームワークが侵害されたウクライナの Web サイト上で隠し iframe として発見され、位置情報に基づいて iPhone ユーザーを選択的に狙っていた。これはロシアの諜報グループと疑われる UNC6353 によるものとされている。2025 年末までには、このツールキット全体が、中国語の偽暗号資産およびオンラインギャンブルサイト数百件に展開され、単一キャンペーンで推定 4 万 2,000 台のデバイスを侵害したと見積もられている。
このキットは、ユーザーの操作を必要としないドライブバイ攻撃として機能する。標的が侵害サイトを訪れると、サイレントな JavaScript が実行され、デバイスのフィンガープリントを取得して最適化されたエクスプロイトチェーンを配信する。犯罪用途に改変されたペイロードは BIP39 シードフレーズを走査し、MetaMask や Trust Wallet のデータを収集し、認証情報をコマンド&コントロールサーバーへ送信する。
なぜ重要か
iVerify の共同創業者で、元 NSA 分析官の Rocky Cole は、Coruna のコードベースは「卓越している」と述べ、その設計上の指紋が、米国政府のプログラムに公的に関連付けられてきたモジュール、特にロシアが公式に NSA の仕業だと非難した 2023 年の iOS キャンペーン Operation Triangulation のコンポーネントと共通していると指摘した。ワシントンはこの非難についてコメントしていない。
Cole は状況を、2017 年に盗まれ、その後 WannaCry や NotPetya 攻撃を可能にした NSA 開発の Windows エクスプロイトに言及しつつ、「EternalBlue の瞬間」になり得ると表現した。
Google は、ゼロデイエクスプロイトフレームワークに関する活発な「中古市場」の存在を指摘し、Coruna の事例は、国家レベルのツールが仲介業者を経て犯罪インフラへと流出していく一方で、その引き渡しポイントが不透明なことを改めて裏付けるものだと述べた。
NSA は、コメントの要請に応じなかった。Apple は、既知の Coruna 脆弱性をすべてカバーするパッチを提供している。
次に読む: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act