2025年を通じて、AppleのiPhoneを標的とした極めて強力なエクスプロイトキット「Coruna」が、サイバーセキュリティの世界に深い影を落としました。Googleの脅威インテリジェンスグループ(GTIG)がその存在を明らかにしたこのキットは、iOSバージョン13.0から17.2.1までの幅広いiPhoneモデルを狙い、5つの完全なエクスプロイトチェーンと合計23の脆弱性を悪用します。その技術的価値は、非公開の悪用技術や緩和策の回避手法を駆使した包括的なiOSエクスプロイトコレクションにあります。
「Coruna」は、その開発者によって名付けられた内部名称であり、その旅路は謎に包まれています。当初は特定の監視ベンダーの顧客によって高度に標的を絞った作戦で利用されていたものが、その後、疑わしいロシアの諜報グループUNC6353によるウクライナのユーザーを狙った水飲み場型攻撃に転用されました。そして最終的には、中国を拠点とする金銭目的の脅威アクターUNC6691によって、大規模なキャンペーンで悪用されるに至ったのです。
この驚くべき拡散の経緯は依然として不明ですが、「中古」のゼロデイエクスプロイトが活発に取引される市場の存在を示唆しています。GTIGは、このキットが最新バージョンのiOSに対しては効果がないことを強調し、iPhoneユーザーにはデバイスを最新バージョンにアップデートするか、それが不可能な場合は「ロックダウンモード」を有効にすることを強く推奨しています。この発見は、高度なサイバー能力がどのように拡散し、悪用されるかを示す新たな事例として、業界に警鐘を鳴らしています。
Googleは、この調査結果を共有することで、業界全体のセキュリティ意識を高め、進歩させることを目指しています。また、特定されたすべての悪性ウェブサイトとドメインをセーフブラウジングに追加し、さらなる悪用からユーザーを保護するための措置を講じています。この包括的な分析は、現代のサイバー脅威が持つ多面性と、それに対抗するための継続的な努力の重要性を浮き彫りにしています。
闇市場を巡る「Coruna」の変遷:商業スパイウェアから国家支援、そしてサイバー犯罪へ
「Coruna」エクスプロイトキットの拡散は、その背後にある脅威アクターの多様性と、ゼロデイエクスプロイトの市場における流動性を示す驚くべき事例です。GTIGの追跡によれば、その旅路は2025年2月に始まりました。この時期、キットの一部は、ある商業監視企業の顧客によって使用されているのが確認されました。この初期段階では、未確認のJavaScriptフレームワークにエクスプロイトが組み込まれ、iOS 17.2を実行するデバイスにCVE-2024-23222を悪用するWebKit RCEが配信されていました。
その後、2025年夏には、同じJavaScriptフレームワークがウクライナのウェブサイトを標的とした水飲み場型攻撃で再浮上しました。この攻撃は、ロシアの諜報グループであると疑われるUNC6353によって実行され、産業機器、小売ツール、地域サービス、eコマースなど、多数の侵害されたウクライナのウェブサイトに隠しiFrameとしてロードされていました。この段階では、特定の地理的位置からのiPhoneユーザーにのみフレームワークが配信され、CVE-2024-23222、CVE-2022-48503、CVE-2023-43000を含むWebKit RCEが収集されました。
そして2025年末には、このエクスプロイトキットはさらに広範なキャンペーンで利用されることになります。中国を拠点とする金銭目的の脅威アクターUNC6691が、多数の偽の金融・仮想通貨関連ウェブサイトを通じて「Coruna」を展開しました。これらのウェブサイトは、ユーザーをiOSデバイスでアクセスするよう誘導し、隠しiFrameを介してエクスプロイトキットを注入しました。この段階で、GTIGは数百ものサンプルと、デバッグバージョンが展開された際に明らかになった内部コード名「Coruna」を回収することに成功しました。
この一連の変遷は、高度なエクスプロイト能力が、当初の標的型監視から国家支援型スパイ活動、そして最終的には大規模な金融犯罪へと、いかに容易に転用され得るかを示しています。これは、ゼロデイエクスプロイトが「セカンドハンド」市場で活発に取引され、多様な脅威アクターの手に渡る可能性を強く示唆しており、サイバーセキュリティコミュニティにとって深刻な懸念材料となっています。
精巧な攻撃基盤:Corunaエクスプロイトキットの技術的深層
「Coruna」エクスプロイトキットは、その設計と実装において極めて高度な技術的洗練度を誇ります。このキットを囲むフレームワークは非常に巧妙に構築されており、エクスプロイトの各要素は自然に連携し、共通のユーティリティおよびエクスプロイトフレームワークを介して統合されています。その特徴的な動作の一つは、デバイスが「ロックダウンモード」にある場合や、ユーザーがプライベートブラウジングを使用している場合に、攻撃を中断する機能です。これは、防御策を回避するための洗練された試みと言えるでしょう。
さらに、このキットはリソースURLを生成するために、一意のハードコードされたクッキーを使用します。リソースはハッシュによって参照され、そのURLを取得するためには`sha256(COOKIE + ID)[:40]`という計算が必要となります。リモートコード実行(RCE)とポインター認証コード(PAC)バイパスは暗号化されずに配信されますが、その後のバイナリペイロードの配信には高度な手法が用いられています。
WebKit内でのRCE成功後、キットは適切なエクスプロイトチェーンをロードするためのバイナリローダーを展開します。このバイナリペイロードは、サポートするチップやiOSバージョンを示す独自のメタデータを含み、`.min.js`で終わるURLから提供されます。特筆すべきは、各ブロブが独自のキーでChaCha20暗号化され、`0xf00dbeef`をヘッダーとするカスタムファイル形式でパッケージ化されている点です。さらに、Lempel–Ziv–Welch(LZW)アルゴリズムで圧縮されており、検出と分析を困難にしています。
これらの技術的特徴は、「Coruna」が単なる脆弱性の寄せ集めではなく、高度な知識とリソースを持つ開発者によって構築された、統合された攻撃プラットフォームであることを示しています。エクスプロイトの各段階で、デバイスのフィンガープリンティングを行い、特定のiPhoneモデルとiOSソフトウェアバージョンに基づいて適切なWebKit RCEを選択する機能も備わっています。このような多層的なアプローチは、攻撃の成功率を高め、広範なiOSデバイスを効果的に標的とすることを可能にしているのです。
23の脆弱性が織りなす多段階攻撃:標的となったiOSバージョンとCVE群
「Coruna」エクスプロイトキットの核心的な技術的価値は、iOSエクスプロイトの包括的なコレクションにあります。このキットには、iOS 13からiOS 17.2.1までのバージョンをカバーする合計23のエクスプロイトが含まれており、その中にはCVEに追跡されている脆弱性と、まだCVE識別子が割り当てられていないものも含まれています。これらのエクスプロイトは、WebKitのメモリ処理やその他のブラウザサブシステムにおける欠陥を悪用し、リモートコード実行やサンドボックスエスケープを可能にします。
特に注目すべきCVEには、ゼロデイとして悪用され、2024年初頭に修正されたWebKitの欠陥であるCVE-2024-23222が挙げられます。また、2025年10月にCISAの既知の悪用済み脆弱性(KEV)カタログに追加されたCVE-2022-48503、そしてSafari 16.6およびiOS 16.6で2025年11月に修正されたCVE-2023-43000も含まれています。さらに、2023年にKasperskyによって発見された「Operation Triangulation」の一部としてゼロデイとして悪用されたCVE-2023-38606とCVE-2023-32434もこのキットに組み込まれていました。
キット内のエクスプロイトは、WebContent R/W(読み書き)、PACバイパス、WebContentサンドボックスエスケープ、PE(権限昇格)、PPLバイパスなど、多岐にわたるタイプを網羅しています。例えば、CVE-2021-30952はiOS 13から15.1.1を、CVE-2023-41974はPEとしてiOS 16.4から16.7を標的としていました。これらのエクスプロイトは、広範なiOSバージョンに対応するために、それぞれ異なる脆弱性を組み合わせることで、攻撃の成功率を最大化するように設計されています。
エクスプロイトの多くは、ネイティブ英語で書かれたドキュメント文字列やコメントを含む広範なドキュメントを備えており、その開発における専門性と組織的なアプローチを物語っています。最も高度なエクスプロイトは、非公開の悪用技術やカーネルモードPACなどのカーネルベースの緩和策を回避するための内部モジュールを利用しており、その技術的深度は非常に高いと言えます。これらの脆弱性の多くは既に修正されていますが、古いiOSバージョンを使用しているユーザーにとっては依然として深刻な脅威となり得ます。
金融情報を狙う最終ペイロード「PlasmaLoader」の脅威
「Coruna」エクスプロイトチェーンの最終段階で展開されるペイロードは、「PlasmaLoader」(GTIGがPLASMAGRIDとして追跡)と名付けられたステージャーバイナリです。これは`com.apple.assistd`という識別子を使用し、エクスプロイトによって確立されたカーネルコンポーネントとの通信を仲介します。このローダーは、iOS上でroot権限で実行されるデーモンである`powerd`に自身をインジェクトします。このペイロードの最も特徴的な点は、従来の監視ベンダーが提供するような広範な監視機能ではなく、金融情報の窃取に特化していることです。
「PlasmaLoader」は、ディスク上の画像からQRコードをデコードする能力を持っています。さらに、Appleメモ内のテキストブロブを分析し、BIP39ワードシーケンスや「backup phrase」「bank account」といった特定のキーワードを検索するモジュールも備えています。これらの機密情報が検出された場合、直ちにC2サーバーに送信されます。さらに重要なのは、このペイロードがリモートで追加モジュールを収集し、実行する能力を持っている点です。これらのモジュールは、`http://<C2 URL>/details/show.html`から取得される構成に基づいてロードされます。
構成ファイルと追加モジュールは、一意のハードコードされたパスワードで保護された7-ZIPアーカイブとして圧縮されています。JSON形式の構成には、モジュール名、URL、ハッシュ、サイズがリストされています。特定されたモジュールのほとんどは、統一された設計を示しており、以下の主要な仮想通貨ウォレットアプリケーションから機密情報を窃取するために、関数フックを配置する目的を持っています。これには、com.bitkeep.os、com.bitpie.wallet、io.metamask.MetaMask、app.phantom、com.sixdays.trust、com.uniswap.mobileなどが含まれます。
ペイロードのログには中国語のメッセージが含まれており、例えば「CorePayload 管理器初始化成功,尝试启动...」(CorePayloadマネージャーが正常に初期化され、起動を試みています...)といった文字列が確認されています。一部のコメントには絵文字も含まれており、大規模言語モデル(LLM)によって生成された可能性も示唆されています。ネットワーク通信はHTTPS経由で行われ、収集されたデータは静的文字列のSHA256ハッシュをキーとしてAESで暗号化され、POSTリクエストで送信されます。また、このインプラントはハードコードされたC2リストを持つだけでなく、サーバーが応答しない場合のフォールバックメカニズムとして、`lazarus`という文字列をシードとするカスタムドメイン生成アルゴリズム(DGA)を組み込んでおり、GoogleのパブリックDNSリゾルバを使用してアクティブなドメインを検証します。
米国政府関連アクターとの類似性:広がる懸念と業界の対応
「Coruna」エクスプロイトキットの分析が進むにつれて、その起源と拡散に関するさらなる懸念が浮上しています。iVerifyの研究者たちは、中国のサイバー犯罪者によって展開されたキットの分析結果を共有し、そのエクスプロイトチェーンが過去に米国政府関連の脅威アクターによって開発されたフレームワークと類似していると評価しました。iVerifyの共同創設者であるロッキー・コール氏もこの見解を裏付けており、この指摘は、高度なサイバー兵器の拡散と、その悪用がもたらす地政学的な影響について、新たな議論を巻き起こしています。
この類似性の指摘は、「Coruna」が当初、商業監視ベンダーの顧客によって使用されていたというGTIGの初期の発見と相まって、スパイウェア産業の複雑なエコシステムと、国家レベルのアクターが関与する可能性を示唆しています。従来の標的型監視を目的としたスパイウェアとは異なり、この最新のキャンペーンは、一般のiPhoneユーザーを狙った大規模な展開へとシフトしていることが指摘されており、これはサイバー脅威の性質が変化していることを示唆しています。
このような状況を受け、サイバーセキュリティ業界全体での対応が強化されています。CISA(サイバーセキュリティ・インフラセキュリティ庁)は、2026年3月6日には、「Coruna」エクスプロイトキットを通じて標的とされた脆弱性のうち、CVE-2021-30952、CVE-2023-41974、CVE-2023-43000の3つを、既知の悪用済み脆弱性(KEV)カタログに追加しました。これは、これらの脆弱性が実際に悪用されていることを公的に認め、連邦機関に対して迅速なパッチ適用を促すものです。
Googleは、スパイウェア産業による被害を制限するための国際的な規範と枠組みを構築することを目的とした「パル・モール・プロセス」に積極的に参加しています。米国政府がスパイウェアの使用を制限するための措置を講じ、同様の国際的なコミットメントがなされている中で、「Coruna」の事例は、強力な技術の悪用を制限し、世界中の人権を保護するための継続的な努力の重要性を改めて浮き彫りにしています。この事件は、サイバーセキュリティの脅威が単なる技術的な問題に留まらず、倫理的、政治的な側面も持つことを示しています。
ユーザーへの警告とセキュリティ強化の呼びかけ
「Coruna」エクスプロイトキットが示す脅威は深刻ですが、ユーザーが自らを保護するための具体的な対策が存在します。最も重要なのは、このエクスプロイトキットが最新バージョンのiOSに対しては効果がないという点です。したがって、すべてのiPhoneユーザーは、デバイスを可能な限り速やかに最新のiOSバージョンにアップデートすることが強く推奨されます。Appleは定期的にセキュリティアップデートをリリースしており、これには既知の脆弱性に対するパッチが含まれています。
もし何らかの理由でデバイスを最新バージョンにアップデートできない場合でも、セキュリティを強化するための代替手段があります。Appleが提供する「ロックダウンモード」を有効にすることで、デバイスのセキュリティ設定が強化され、「Coruna」のような高度なエクスプロイトキットによる実行を回避できることが確認されています。また、プライベートブラウジングモードを使用することも、キットが実行を避けるためのチェックを行うため、有効な防御策となり得ます。
Googleは、この脅威に対処するため、特定されたすべての悪性ウェブサイトとドメインを「セーフブラウジング」サービスに追加し、ユーザーが誤ってこれらのサイトにアクセスして被害に遭うことを防ぐための措置を講じています。これにより、悪意のあるコンテンツへのアクセスがブロックされ、広範なユーザーベースの保護に貢献しています。このような積極的な対応は、サイバー脅威の拡散を食い止める上で不可欠です。
今回の「Coruna」の事例は、高度なエクスプロイトキットが、商業目的から国家支援、そして金銭目的のサイバー犯罪へと、いかに多様なアクターによって悪用され得るかを示すものです。ユーザーは常に警戒を怠らず、ソフトウェアを最新の状態に保ち、提供されるセキュリティ機能を活用することが、デジタル資産とプライバシーを守る上で極めて重要です。セキュリティ研究者とベンダーは、このような進化する脅威に対して、継続的な監視と情報共有を通じて対抗し続ける必要があります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Coruna: The Mysterious Journey of a Powerful iOS Exploit Kit | Google Cloud Blog - https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit
- -Coruna Exploit Kit Targets Older iPhones in Multi-Stage Campaigns - Infosecurity Magazine - https://www.infosecurity-magazine.com/news/coruna-exploit-older-iphones/
- -Coruna: Spy-grade iOS exploit kit powering financial crime - Help Net Security - https://www.helpnetsecurity.com/2026/03/03/coruna-ios-exploit-kit