iPhoneを狙う高度なハッキングツール「Coruna」発見 米政府から流出、犯罪集団の手に渡ったか：この頃、セキュリティ界隈で

　米Googleは、米AppleのiPhoneを狙った高度なハッキングツール群「Coruna」を発見したと発表した。モバイルセキュリティ企業の米iVerifyはCorunaについて、米政府を経て犯罪集団の手に渡ったようだと推測している。

　Googleによると、CorunaによってiOSのバージョン13.0（2019年9月リリース）から同17.2.1（23年12月リリース）を搭載したiPhoneが影響を受ける。計23件の脆弱性を悪用しており、当時まだ未修整だったゼロデイの脆弱性を利用したり、防御策を巧妙にかわしたりする手口が使われていた。

　Google脅威インテリジェンス部門（GTIG）は25年中、「ある監視ベンダーの顧客」によるCorunaの利用を追跡していたという。その後、ロシアのスパイと思われる集団が、ウクライナのユーザーに対する攻撃にCorunaを利用。続いて中国を拠点とする集団が、金銭詐取を狙った詐欺サイトに利用した。こうしたサイトにiOS端末でアクセスすると不正なコードが挿入され、Corunaに感染する仕組みだった。

　一方、iVerifyはCorunaについて独自の分析を行った結果、「高度なスパイウェア級の機能が商用監視ベンダーから国家アクターの手に渡り、大規模な犯罪活動に利用されるようになった」との推測を明らかにした。

　iVerifyの調査の発端となったのは、不審なドメインをもつWebサイトが見つかったことだった。詳しく調べたところ、このサイトに仕込まれていたハッキングツールを発見。iOS 16を搭載したiPhoneでアクセスすると、リモートコード実行の脆弱性やローカル特権昇格の脆弱性が悪用され、感染したデバイスを攻撃者が制御できる状態になることが分かった。

　このマルウェアはユーザーが知らないうちにiPhoneに感染し、暗号通貨や写真、電子メールなどの情報を盗み出すことができるという。

　「国家が開発したと思われるツールが犯罪集団に利用され、iOSを含む携帯電話で大規模な悪用が確認されたのは初めてだった」（iVerify）

　iVerifyはそう述べ、「商用スパイウェアの開発者やそれを購入する政府は、使用目的をテロ対策に限定し、犯罪者に対してのみ、非独裁政権によって使用されると主張している。しかし、いったんスパイウェアやエクスプロイトツールが販売されれば、末端の顧客に対する制御は失われるという現実が露呈し始めている」と指摘する。

　その上で、このツールが「流出した米政府のフレームワーク」だったことを裏付ける、ある程度の証拠も持っているとした。

　今回の事態についてiVerifyは、かつて米国家安全保障局（NSA）が開発したハッキングツール「EternalBlue」が流出した時と全く同じ筋書きだとの見方を示す。Microsoft Windowsのゼロデイの脆弱性を悪用するEternalBlueは、その後ランサムウェアの「WannaCry」に利用され、世界中で大きな被害を発生させた。

　Googleによると、Corunaは新しいバージョンのiOSに対しては通用しない。また、デバイスがロックダウンモードになっている場合や、ユーザーがプライベートブラウジングを使っている場合は作動しない。

　このため対策として、iPhoneのiOSは最新バージョンに更新し、アップデートが利用できない場合は「ロックダウンモード」を有効にするよう促している。