Google の Threat Intelligence Group は、Coruna と呼ばれる高度な iOS エクスプロイト・フレームワークに関する調査結果を公開した。Coruna は 5 つの完全な エクスプロイトチェーンにまたがる 23 件の脆弱性を内包しており、2025 年を通じて、ロシアの諜報活動オペレーターと中国の暗号資産詐欺グループによって使用されていたとみられている。
モバイルセキュリティ企業 iVerify は別途、 concluded として、このコードベースが米国政府開発ツールの特徴を備えていると判断し、国家レベルの iOS 能力が大規模な犯罪利用向けに転用された、初めて知られた事例だと指摘している。
Coruna によって悪用されたすべての脆弱性は、現在の iOS バージョンではすでに修正済みだ。2023 年 12 月までにリリースされた iOS 17.2.1 以前を実行しているデバイスは、影響を受ける範囲に含まれる。
何が起きたのか
Google は 2025 年を通じて 3 つの別個のオペレーターを通じて Coruna を tracked した。最初に確認されたのは 2 月で、名称非公表の商用監視ベンダーの顧客が用いるエクスプロイトチェーンの一部として登場した。
夏までには、同一の JavaScript フレームワークが侵害されたウクライナのウェブサイト上に隠し iframe として埋め込まれ、位置情報によって iPhone ユーザーを選択的に狙う形で使われていた。これはロシアの諜報グループとされる UNC6353 によるものとみなされている。2025 年末までには、このフルツールキットが中国語の偽暗号資産およびギャンブルサイト数百件に展開され、単一キャンペーンで推定 4 万 2,000 台のデバイスが侵害されたとされる。
このキットはドライブバイ攻撃として動作し、クリックは不要だ。標的が侵害済みサイトを訪問すると、サイレントな JavaScript が起動して端末のフィンガープリントを取得し、それに応じたエクスプロイトチェーンを配信する。犯罪者向けに改造されたペイロードは BIP39 のシードフレーズをスキャンし、MetaMask や Trust Wallet のデータを収集し、認証情報をコマンド&コントロールサーバーに送信する。
なぜ重要か
iVerify の共同創業者で元 NSA アナリストの Rocky Cole は、Coruna のコードベースは「非常に優れており」、米国政府プログラムと公に関連付けられてきたモジュールと同じエンジニアリング上の指紋を共有していると述べた。そこには、ロシアが公式に NSA の関与を主張した 2023 年の iOS キャンペーン Operation Triangulation のコンポーネントも含まれる。ワシントンはこの主張について、これまで一切コメントしていない。
Cole はこの状況を、 described で、2017 年に盗まれ、その後 WannaCry や NotPetya 攻撃を可能にした、NSA 開発の Windows エクスプロイト「EternalBlue」と同様の瞬間になり得ると表現している。
Google はゼロデイ・エクスプロイト・フレームワークの「中古市場」が活発であると指摘し、Coruna の足跡は、国家レベルのツールがブローカーを経て、明確な受け渡し点がないまま犯罪インフラへと流入していく実態を裏付けていると述べた。
NSA はコメント要請に応じなかった。Apple は、Coruna に関連する既知のすべての脆弱性をカバーするパッチを配信している。
Read next: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act