iPhoneに侵入して暗号通貨を盗む！攻撃ツール「Coruna」が蔓延し、旧バージョンのiOSが狙われやすくなる

作者：Max、暗号化都市

国家レベルの監視ツールから「資産収奪マシン」へ Google脅威情報グループ（GTIG）が発表した詳細な報告によると、コードネーム「Coruna」（別名CryptoWaters）のiOS脆弱性キットは、世界中のiPhoneユーザーに深刻な脅威をもたらしている。このツールの開発経緯は非常に劇的であり、**2025年2月に初めて発見された際には、民間の監視企業が政府顧客向けに提供し、政治家や異議を唱える者をターゲットにした精密監視に使用されていた。**その後、2025年夏にはロシア政府と関係のあるハッカー組織UNC6353がこのキットを掌握し、ウクライナ市民を標的とした地政学的諜報活動に利用した。

出典：Google ｜ Coruna発見のタイムライン

技術の流出に伴い、数百万ドルをかけて開発されたこの高性能ツールは、正式にサイバー犯罪市場に流入した。2025年末から2026年初頭にかけて、中国のハッカー組織UNC6691がこの技術を入手し、攻撃の焦点をデジタル資産の窃盗に切り替えた。これは高度なスパイツールの商用化を意味し、特定ターゲットからの情報収集から、一般の暗号通貨保有者への大規模な財産略奪へと変貌した。研究者は、ハッカーが高額な技術コストを投じることから、暗号資産の背後にある巨大な利益が、専門的な技術を金融犯罪へと駆り立てていることを示している。

23の脆弱性連鎖：水たまりの裏に潜む静かな侵入 Corunaキットは高度な自動化と隠密性を備え、23の独立した脆弱性を統合し、5つの完全な攻撃チェーンを構成している。**その影響範囲は広く、iOS 13.0からiOS 17.2.1までのすべてのiPhoneおよびiPadデバイスを対象としている。**攻撃者は「ウォータリングホール攻撃（Watering Hole Attack）」を採用し、侵入や偽の暗号通貨取引所・金融サイトの設置を通じて被害者を誘導する。これらのサイトは、偽造されたWEEX取引プラットフォームのように、外観や機能は公式サイトとほとんど変わらず、検索エンジン最適化や有料広告を駆使して露出を増やしている。

出典：Google ｜ 偽造のWEEX取引プラットフォーム

iPhoneユーザーがこれらの汚染されたウェブページにアクセスすると、背景スクリプトが即座にデバイス識別を行う。システムは静かにiOSのバージョンを確認し、攻撃範囲内であれば自動的にゼロクリック（Zero-click）脆弱性を利用した侵入を開始し、ユーザーの操作やリンクのクリックは一切不要となる。一部の偽サイトは、iOSデバイスでの閲覧を促すメッセージを表示し、より良い体験を提供すると謳っているが、実際には未更新の脆弱なターゲットを正確に狙い撃ちしている。

アルバム内のスクリーンショットも見逃さない Corunaがデバイスの権限を取得すると、悪意のあるプログラムPlasmaLoaderが起動し、ユーザーのデジタル資産をスキャンし始める。このプログラムは強力なスキャン能力を持ち、「backup phrase」「bank account」「seed phrase」などの特定キーワードを検索し、SMSやメモから重要なデータを抽出する。さらに、画像認識機能も備えており、ユーザーのアルバム内のスクリーンショットを自動的に解析し、ウォレットのシードフレーズや秘密鍵を格納したQRコードを探し出す。 静的なデータ収集だけでなく、CorunaはMetaMaskやUniswapなどの主要な暗号通貨ウォレットアプリも標的とし、敏感情報の抽出を試みる。ハッカーはこれらのアプリから情報を抜き取り、ウォレットの完全な制御を得ようとする。既知の複数のケースでは、被害者の資金は偽サイトにアクセスした直後に短時間で移動されている。攻撃はシステムの低レベルの権限を狙うため、一度でも秘密鍵が端末内に痕跡を残していれば、このスパイ級ツールの収集から逃れることは難しい。

出典：Google ｜ Googleが列挙した悪意ある可能性のあるアプリ一覧

防御の鉄則と生存ガイド？システムのアップデートが安全の鍵 高度な脅威に対抗するために、iPhoneユーザーは明確な防護策を講じる必要がある。 **Googleの報告によると、CorunaはiOS 17.3以降のバージョンでは全く効果がない。**現在、システムはより新しいバージョンにアップデートされているが、古い端末や空き容量不足のために更新できていないユーザーも多く、リスクにさらされている。アップデートできない古いモデルについては、Appleが提供する「ロックダウンモード（Lockdown Mode）」を有効にすることが有効な対策となる。このモードが検知されると、悪意のあるプログラムは動作を停止し、追跡を回避する。 セキュリティ専門家は、暗号資産の保有者に対し、基本的な生存ルールを守ることを推奨している。最も効果的な防御策は、LedgerやTrezorなどのハードウェアウォレットを使用し、秘密鍵を完全にオフライン状態に保ち、iOS環境に触れさせないことだ。次に、助記詞や秘密鍵を含むスクリーンショットはすべて削除し、オフラインの物理バックアップに切り替えるべきである。 Corunaはシークレットモードを避けて検出リスクを低減させているが、これはあくまで一時的な対策に過ぎない。デジタル資産の価値が高まる今日、ソフトウェアの常時更新とセキュリティ意識の維持は、投資家としての基本的義務となっている。