ウェブ閲覧だけで侵入される。iOS 13から17.2.1までを狙う強力なエクスプロイトが、スパイ活動から金銭窃取まで用途を変えて流通しています。コードの出自を巡る手がかり、数万台規模の侵害推定、そして修正済みバージョンの境界。事実関係を一枚で整理します。
23件のiOS脆弱性と5本の完全チェーン ウクライナ標的から中国語圏の暗号資産窃取まで広がった実態
グーグルのセキュリティ研究者は、iPhone向けハッキングツールキット「Coruna(コルナ)」を分析し、合計23のiOS脆弱性を悪用し得ること、5種類の完全なエクスプロイトチェーンを備えることを明らかにしています。攻撃は、細工されたウェブサイトを訪れるだけでマルウェアが密かに導入される手口です。十分な資金と高度な技術力を持つ主体の関与が示唆され、国家支援グループの可能性にも言及があります。SafariのエンジンであるWebKitの脆弱性を突くため、旧バージョンのiOSでSafariを使う場合に影響が及びます。Chrome向けの手法は確認されていないとされています。アップルは最新のiOS 26で関連脆弱性を修正し、有効範囲はiOS 13から17.2.1に限定されると記されています。
攻撃の展開は段階的です。まず、監視技術企業の顧客とされる主体が、2025年2月に確認された手法の一部を利用したと追跡されています。続いて、より完成度の高いコルナが、ロシアのスパイグループとみられる組織の作戦で使われた可能性が指摘されました。このケースでは、ウクライナのウェブサイト上の訪問者カウンターのコンポーネントにコードが隠されていました。その後、金銭目的のサイバー攻撃でも利用が確認され、中国語圏向けの暗号資産サイトやギャンブルサイトを汚染し、暗号資産を窃取するマルウェア配布に使われたといいます。コルナは端末のロックダウンモードを検出し、有効化時は攻撃を試みない設計も確認されています。
起源に関しては、複数の手がかりが提示されています。iVerifyの分析では、入手コードに米国政府向けの開発または購入の可能性が示唆されています。さらに、過去に「Operation Triangulation」で使われたコンポーネントとの共通点が、グーグルとiVerifyの双方から指摘されています。ロシア政府は同作戦を米国家安全保障局の関与と主張した経緯がありますが、米国政府は回答していないとされています。iVerifyのロッキー・コール氏は、英語話者による高度なコードであり、数百万ドル規模の資金投入が必要だったと述べています。一方で、後年にサイバー犯罪者が加えたとみられる暗号資産窃取コードは「出来がよくない」との評価が示されています。
拡散経路について、グーグルは中古のゼロデイエクスプロイト市場の存在を示唆します。複数の脅威アクターが高度な手法を入手し、新規の脆弱性に合わせて再利用する状況があると指摘しています。ゼロデイやエクスプロイトを高額で取引するブローカーの存在も背景として挙げられ、Trenchantの元幹部ピーター・ウィリアムズがロシアのブローカーにハッキングツールを販売した罪で懲役7年の判決を受けた事例が紹介されています。こうした流通により、国家組織や犯罪グループなど多様な主体の手に渡る危険性が高まります。
被害規模の推定として、iVerifyはパートナーと集計した通信データから、金銭窃取キャンペーンだけでも約4万2,000台の端末侵害の可能性があるとしています。一方で、ウクライナ関連の作戦など、全体の規模は不明とされています。コルナの多くのコンポーネントは未確認のもので、フレームワークは「単独の開発者」による統一的な設計に見えるという見解も示されています。グーグルは追加コメントを控え、アップルも現時点で見解を出していないことが記されています。
コードの出自が仮に米政府向けだった場合の含意として、iVerifyはモバイル分野における「EternalBlueの瞬間」に言及しています。NSAから流出したWindows向けツールがWannaCryやNotPetyaに転用された歴史になぞらえ、流出リスクの重大性が示されています。ゼロデイ市場の倫理や独占性の欠如が、再販売と拡散の温床となる点も強調されています。結果として、実運用下に流通する希少で強力なツールが、広範なアクターにより改変され続ける可能性が示されています。
見解として、影響範囲の明確化と適用バージョンの境界提示は、利用者保護の初期対応に資するといえます。ロックダウンモードの回避設計や流通経路の推定は、実務上のリスク評価に有用です。
詳しくは「コンデナスト・ジャパン(WIRED)」の公式ページまで。 レポート/DXマガジン編集部
