2026年3月3日、Google の脅威情報グループ(GTIG)の調査により、iOS を標的とするエクスプロイトキット「Coruna」の全容が明らかになった。同キットは5つのエクスプロイトチェーンと合計23個のエクスプロイトを含み、iOS 13.0から iOS 17.2.1までの iPhone を標的とする。
2025年2月に監視会社の顧客による使用が初めて確認され、同年7月にはロシアのスパイグループとみられる組織がウクライナのウェブサイトへのウォータリングホール攻撃に使用。同年12月には中国の偽ギャンブルサイトおよび仮想通貨サイトを通じた金融犯罪にも転用された。
ペイロードは MetaMask や BitKeep など複数の仮想通貨ウォレットアプリから資産・機密情報を窃取する機能を持つ。iVerify の共同創業者ロッキー・コールは、同エクスプロイトチェーンが米国政府関連の脅威アクターが開発したフレームワークと類似していると評価している。最新の iOS には本キットは無効であることが確認されている。
From: 
Coruna: Spy-grade iOS exploit kit powering financial crime – Help Net Security
【編集部解説】
今回の Coruna に関するレポートが歴史的な意味を持つのは、単に「新種のマルウェアが発見された」という話ではないからです。国家レベルの諜報機関が使うような精巧なエクスプロイトキットが、商業スパイウェア業者から国家諜報機関へ、さらには金銭目的のサイバー犯罪者の手へと「流通」した——その一部始終が初めて公開されたことに、本当の衝撃があります。
「スパイの道具」が「泥棒の道具」に変わるまで
Coruna の構造を理解するには、まず「エクスプロイトチェーン」という概念を押さえる必要があります。これは、複数の脆弱性を連鎖的に組み合わせて iOS のセキュリティ層を段階的に突破していく技術的な手順のことです。今回のキットには5つのチェーンと合計23個のエクスプロイトが含まれており、iVerify はこれを「国家レベルの精巧さ」と評しています。
注目すべきは、その「旅程」です。2025年2月に商業スパイウェア業者の顧客が使用し、同年夏にはロシアの諜報グループがウクライナ市民への攻撃に転用し、年末には中国系の金融犯罪集団が仮想通貨詐欺に使い始めた。わずか1年足らずで、エリートの道具が大衆犯罪の武器になったのです。
iOS ユーザーへの具体的な脅威
技術的に特筆すべき点は、感染経路の「手軽さ」です。標的となるウェブサイトを iPhone で訪問するだけで、ユーザーが何も操作しなくとも感染が成立します。iVerify は「脆弱な iOS バージョンでそのサイトにアクセスした人は誰でも感染し得た」と述べており、これは従来のスパイウェアが持っていた「特定ターゲットへの精密攻撃」という性格からの決定的な転換を意味します。
感染後のペイロード(PlasmaLoader)は、MetaMask や Phantom、Exodus など18種類の仮想通貨ウォレットアプリを標的にし、シードフレーズや秘密鍵を窃取します。写真フォルダに保存された QR コードのスキャン、Apple メモの解析まで行う設計は、仮想通貨ユーザーの行動をよく理解した者が設計したことを示唆しています。
「起源」をめぐる議論と留意点
iVerify の共同創業者ロッキー・コールは、Coruna が「米国政府に関連する脅威アクターが開発したフレームワークと類似している」と述べ、一部メディアは「EternalBlue の iOS 版」とも評しています。EternalBlue は米国家安全保障局(NSA)が開発したとされるエクスプロイトで、流出後に 2017 年の WannaCry および NotPetya ランサムウェア攻撃に転用された事例です。
ただし、この「米国政府起源説」には慎重な姿勢が必要です。Kaspersky の主席セキュリティ研究者であるボリス・ラーリン(Boris Larin)は、The Register の取材に対し「公開されたレポートには、Coruna を同じ開発者に帰属させる実際のコード再利用の証拠は見当たらない」と反論しています。脆弱性の共通性は、コードの盗用ではなく、同じ公開情報を参照した独立した開発によっても説明できます。
「中古ゼロデイ市場」という構造問題
GTIG が指摘した「second-hand zero-day exploits(中古ゼロデイエクスプロイト)の活発な市場」という表現は、今回の事案の本質を端的に言い表しています。高度な脆弱性情報やエクスプロイトコードが、国家や商業スパイウェア業者から何らかの経路でサイバー犯罪者へと流通している——この「武器の流通市場」が実在することが、今回初めてここまで具体的に可視化されました。
規制と安全保障への影響
Google は Coruna の公開に合わせ、「パル・マル・プロセス(Pall Mall Process)」への言及を盛り込みました。これは2024年に英国が主導した、商業スパイウェアの拡散を抑制するための国際的な規範形成の枠組みです。今回の事案は、その枠組みの必要性を改めて強調するものといえます。一方で、国家が開発した(あるいは開発に関与したとされる)ツールが流出・転用されるリスクに対し、現行の規制枠組みがどこまで有効かという疑問も残ります。
防衛策の現実
技術的な防衛策は明快です。最新の iOS にアップデートすること——これだけで Coruna は完全に無効化されます。アップデートが困難な場合は、ロックダウンモードの有効化またはプライベートブラウズの利用が有効で、Coruna 自身がこれらの設定を検知して攻撃を中止する仕組みになっています。問題は、世界にはいまだ iOS 17.2.1 以前のデバイスを使い続けているユーザーが多数存在するという現実です。
【用語解説】
エクスプロイトチェーン
複数の脆弱性を連鎖的に組み合わせ、段階的にデバイスのセキュリティ層を突破していく攻撃手法。単一の脆弱性では届かない深い権限へのアクセスを、複数の脆弱性を「橋渡し」することで実現する。
ゼロデイエクスプロイト
ソフトウェアの開発元がまだ把握していない、またはパッチが存在しない脆弱性を悪用した攻撃コード。開発元が対処できる日数がゼロであることからこの名がついた。発見・開発に多大なコストがかかるため、闇市場では高額で取引される。
ウォータリングホール攻撃
標的が頻繁に訪問するウェブサイトに不正コードを仕込み、訪問者が気づかないうちに感染させる攻撃手法。獲物が水を飲みに来る「水飲み場」を待ち伏せする狩猟手法に由来する。
PlasmaLoader(PLASMAGRID)
Coruna のエクスプロイトチェーンが最終的に配布するペイロード(悪意あるプログラム)の内部名称。iOS の root 権限で動作するデーモン「powerd」に自身を注入し、仮想通貨ウォレット情報の窃取や追加モジュールのダウンロードを担う。
シードフレーズ
仮想通貨ウォレットの復元に使われる12〜24語の単語列。この語句を知られると、ウォレット内の資産にアクセスされる危険がある。BIP39 とは、このシードフレーズの生成規格の名称。
EternalBlue
米国家安全保障局(NSA)が開発したとされる Windows 向けエクスプロイト。流出後に 2017 年の WannaCry および NotPetya ランサムウェア攻撃に転用された。Coruna が辿った「政府ツールの流出・犯罪転用」という経路は、この事件と比較されている。
パル・マル・プロセス(Pall Mall Process)
2024 年に英国政府が主導した、商業スパイウェアおよびサイバー侵入ツールの拡散と悪用を規制するための国際的な規範形成の枠組み。Google を含む複数の企業・政府が参加している。
CVE
Common Vulnerabilities and Exposures の略。ソフトウェアの脆弱性に付与される一意の識別番号。「CVE-2024-23222」のように年号と番号で構成され、セキュリティ研究者間で共通の脆弱性識別に使われる。
オペレーション・トライアングレーション(Operation Triangulation)
2023 年に Kaspersky が発見した iOS を狙ったスパイウェアキャンペーン。Coruna に含まれる一部のエクスプロイト(CVE-2023-32434、CVE-2023-38606)はこの作戦でもゼロデイとして使用されており、ロシア政府は米国 NSA による攻撃だと主張した。
UNC6353 / UNC6691
Google が付与する未確認(Uncategorized)脅威アクターの識別コード。UNC6353 はロシアのスパイグループと疑われる組織で、ウクライナへのウォータリングホール攻撃に Coruna を使用。UNC6691 は中国を拠点とする金銭目的のサイバー犯罪集団で、仮想通貨詐欺への転用を担った。
【参考リンク】
Google GTIG — Coruna 公式レポート(外部)
GTIGによるCoruna完全レポート。23個のエクスプロイト詳細、CVE対応表、IOCを網羅した一次情報源。
iVerify — Coruna 独自分析レポート(外部)
iVerifyによる独立分析。WhatsAppモジュールの特定、感染検知IOC、米国政府起源説についての見解を掲載。
Apple — ロックダウンモードについて(外部)
iPhoneのロックダウンモード概要と有効化手順。Corunaはこのモードを検知すると攻撃を中止する。
MetaMask — 公式サイト(外部)
Corunaの主要標的となった仮想通貨ウォレットアプリ。Ethereumおよびその互換ネットワーク対応のソフトウェアウォレット。
CISA — 既知の悪用脆弱性カタログ(KEV)(外部)
CISAが管理する悪用確認済み脆弱性の公式カタログ。CVE-2022-48503は2025年10月に追加された。
Kaspersky — Operation Triangulation 調査レポート(外部)
Corunaと共通の脆弱性が使用されたiOSスパイウェアキャンペーンの詳細。2023年にKasperskyが公開した。
【参考記事】
Coruna iOS exploit kit moved from spy tool to mass criminal campaign in under a year — CSO Online(外部)
PlasmaLoaderが18種の仮想通貨アプリを標的にすること、コメントが中国語でLLM生成の可能性があることを報じた。
Spyware-grade Coruna iOS exploit kit now used in crypto theft attacks — BleepingComputer(外部)
エクスプロイトチェーンの技術構造とPlasmaLoaderの動作、標的モジュール構成を詳細に解説している。
Kaspersky: No signs Coruna iPhone exploit kit made by US — The Register(外部)
Kasperskyの研究者ボリス・ラーリンが「米国政府起源説」に反論。コード再利用の証拠はないと指摘した。
Nation-State iOS Exploit Kit ‘Coruna’ Found Powering Global Attacks — SecurityWeek(外部)
UNC6353とUNC6691それぞれの攻撃手法の違いと、偽WEEX取引所サイトによる誘導の手口を詳報。
Possible U.S.-developed exploits linked to first known ‘mass’ iOS attack — CyberScoop(外部)
ロッキー・コールが「EternalBlue のiOS版」と評した背景と、WannaCry・NotPetyaとの構造的類似を論じた。
Coruna: Inside the Nation-State-Grade iOS Exploit Kit We’ve Been Tracking — iVerify(外部)
GTIGが未確認のWhatsAppモジュールを特定。キットが現在も活発に開発中であることを独自に指摘している。
Coruna: The Mysterious Journey of a Powerful iOS Exploit Kit — Google Cloud Blog(GTIG)(外部)
23個のエクスプロイト・5チェーンの全詳細、YARAルール、IOCを含む最も包括的な技術レポート。
【編集部後記】
「iPhoneは安全」という感覚は、私たちの多くが持っているものではないでしょうか。しかし今回の Coruna は、国家レベルの精巧な技術が気づけば「普通の犯罪者」の道具になっていたという現実を突きつけています。
あなたのデバイスは今、最新の iOS で動いていますか?
