アメリカ政府のツールの流出の疑い！Googleが明らかにした暗号通貨詐欺の新型iPhone攻撃チェーン

Googleの脅威情報チーム（GTIG）は水曜日に報告を発表し、Corunaと呼ばれる新しいタイプのiPhone脆弱性利用ツールキットが大規模な暗号通貨詐欺活動に展開されていることを明らかにしました。サイバーセキュリティ企業のiVerifyは、Corunaツールキットは米国政府に起源がある可能性があり、制御を失った後に敵対者やサイバー犯罪組織によって暗号通貨詐欺に転用されたと示唆しています。

Corunaツールキットの技術分析：暗号ウォレットを標的にした情報窃取の仕組み

（出典：Mandiant）

CorunaはJavaScript技術を用いて、偽サイトにアクセスしたiOSデバイスの指紋を識別し、ターゲットのiOSバージョンを確認した後、自動的に脆弱性を悪用するプログラムを展開します。デバイスが侵害されると、ツールキットは以下の種類の敏感情報を系統的に検索します。

暗号助記詞：ローカルのテキストファイル内に「バックアップフレーズ（backup phrase）」や「シードフレーズ（seed phrase）」といったキーワードを含む内容を積極的にスキャン

主要な暗号アプリケーション：UniswapやMetaMaskなどの分散型ウォレットアプリを標的にし、秘密鍵やアカウント情報を抽出

金融口座情報：銀行口座やその他の支払い関連の敏感なデータも同時に検索

GTIGは、Corunaが最新のiOSバージョンと互換性がないことを確認し、すべてのiPhoneユーザーに対して直ちにシステムのアップデートを強く推奨しています。アップデートできない場合は、Appleが提供する「ロックダウンモード（Lockdown Mode）」を有効にすることを勧めており、Apple公式はこのモードが高度に複雑な標的型攻撃に対して効果的に防御できると説明しています。

情報活動から暗号詐欺サイトへの展開：Corunaの二つの拡散経路

GTIGの追跡によると、Corunaツールキットは二つの全く異なる段階を経て使用されてきました。最初は、ロシアの情報機関と疑われる組織が、侵害されたウクライナのウェブサイトを通じて、特定の地理的地域のiPhoneユーザーに対して標的的にツールキットを配布し、典型的な情報収集の特徴を示していました。

2025年12月、GTIGは大規模な中国語の偽金融サイト群の中で、同じJavaScriptフレームワークを含む複数のサイトを発見しました。その中には、暗号通貨取引所WEEXを模倣した偽サイトも含まれており、iOSユーザーがこれらの偽サイトにアクセスすると、バックグラウンドで自動的に財務情報を抽出し、特に暗号ウォレットの助記詞を優先的に狙うことで、直接的な資産の安全性に脅威をもたらしています。これにより、もともと情報収集のために使われていたツールが、大規模な暗号通貨詐欺の手段へと変貌を遂げました。

帰属論争：米国政府のツールなのか商業スパイウェアなのか？

この事件の最も議論を呼んでいる点は、Corunaの潜在的な出所です。iVerifyの共同創設者ロッキー・コールはWIREDに対し、「非常に複雑で、数百万ドルをかけて開発され、すでに米国政府に帰属するとされる他のモジュールの特徴も持つ」と述べており、これが「米国政府のツールが制御を失った後に敵対者やサイバー犯罪集団に悪用された最初のケースかもしれない」と示唆しています。

一方、カスペルスキー（Kaspersky）のセキュリティリサーチャーは異なる見解を示し、「公開された報告書の中で、実際のコードの再利用を示す証拠は見つかっていない」と述べており、帰属に関する証拠は不十分としています。GTIGも報告書内で、Corunaを最初に使用したとされる監視企業の顧客の身元を直接公開しておらず、帰属問題は未解決のままです。

よくある質問

Q1: Corunaツールキットは最新のiPhoneに影響しますか？
GTIGは、Corunaの5つの脆弱性利用のチェーンはiOS 13.0から17.2.1までを対象としており、現行の最新iOSとは互換性がないと確認しています。すべてのiPhoneユーザーは直ちにシステムをアップデートすべきです。アップデートできない場合は、Appleの「ロックダウンモード」を有効にしてリスクを低減してください。

Q2: GoogleはどのようにしてCorunaが暗号通貨詐欺に利用されていることを発見したのですか？
GTIGは2025年2月に、ツールキットの一部コードの特徴を識別し、侵害されたウクライナのウェブサイトに使われていた同じJavaScriptフレームワークを追跡しました。その後、WEEXを模倣した大規模な中国語の偽金融サイト群において、ツールキットの完全な展開を確認し、情報攻撃から大規模な暗号通貨詐欺ツールへと変貌したことを突き止めました。

Q3: 暗号ウォレットの助記詞をこのようなツールキットから守るにはどうすればよいですか？
即時にiOSをアップデートすることに加え、助記詞は完全にオフラインのコールドストレージ（ハードウェアウォレットや紙のバックアップ）に保存し、インターネットに接続されたデバイス上に平文で保存しないことを推奨します。また、すべての暗号関連ウェブサイトについて二次的な真偽性の検証を行い、出所不明の金融サイトへのアクセスを避けてください。