概要サイバーセキュリティ研究者は、iOS 13〜17.2.1を実行しているiPhoneを標的とし、複数のゼロデイ脆弱性を利用して暗号通貨ウォレットの資格情報を盗み出す高度なツールキット「Corunaエクスプロイトキット」を発見しました。サイバーセキュリティの研究者は、AppleのiPhoneのセキュリティシステムを回避し、ユーザーの暗号通貨ウォレットから資金を盗むことができる強力なハッキングツールキットを発見しました。このエクスプロイトキットは「Coruna」と呼ばれ、AppleのモバイルOSの複数の脆弱性を悪用し、すでにスパイ活動や金銭目的のサイバー犯罪に利用されています。Googleの脅威情報グループのセキュリティ研究者は、Corunaフレームワークには23種類の異なるエクスプロイトが複数の攻撃チェーンにまとめられており、古いバージョンのAppleモバイルソフトウェアを使用しているデバイスを攻撃できることを発見しました。感染後、マルウェアは暗号通貨ウォレットや銀行情報などの機密データをスキャンします。この発見は、モバイルウォレットを利用してデジタル資産を保管している暗号通貨利用者にとって、リスクが高まっていることを示しています。モバイル取引や分散型金融(DeFi)アプリの普及に伴い、攻撃者はスマートフォンをデジタル資金へのアクセス点として狙い始めています。## **多重攻撃経路を持つ高度なツールキット**Corunaエクスプロイトキットは、これまでに公開された中で最も高度なiPhone攻撃構造の一つと見なされています。セキュリティ専門家は、このツールキットがiOS 13からiOS 17.2.1までのバージョンを動作させるデバイスを攻撃できると指摘しています。これは、2019年以降2023年末までに発売されたiPhoneに該当します。Corunaは単一の脆弱性ではなく、5つの攻撃チェーンに23種類のエクスプロイトを組み合わせており、Appleの複数のセキュリティ保護層を突破できる仕組みになっています。攻撃は、多くの場合、悪意のあるサイトを訪れるだけで完了します。感染したページが脆弱なデバイスに読み込まれると、隠されたエクスプロイトコードが自動的に実行され、攻撃者はデバイスを制御し、マルウェアをインストールします。最初に、デバイスのモデルや使用中のOSの種類を特定するための指紋を採取します。その後、セキュリティ対策を突破し、悪意のあるソフトウェアをインストールするための適切なエクスプロイトチェーンを選択します。## **暗号通貨ウォレットが主要ターゲットに**デバイスが感染すると、マルウェアは価値のあるデータ、特に暗号通貨の資格情報を盗むことを目的とします。調査によると、マルウェアはメッセージ、ノート、アプリケーションデータをスキャンし、暗号通貨のリカバリーフレーズに関連するキーワードを探します。特に、「mnemonic phrase(ニーモニックフレーズ)」「backup phrase(バックアップフレーズ)」「bank account(銀行口座)」といった言葉を検索し、これらが見つかると、攻撃者はそれらを利用して被害者のウォレットを別のデバイスで復元し、資金に完全にアクセスします。研究者によると、このエクスプロイトキットは、分散型金融(DeFi)プロトコルや取引プラットフォームにリンクする人気のある複数のウォレットアプリを標的としています。報告によると、少なくとも18の暗号通貨アプリが、感染したデバイスにインストールされている場合にデータ抽出をサポートしています。マルウェアは機密データを収集した後、攻撃者が管理するリモートのコマンド&コントロールサーバーにデータを送信し、短時間で被害者のウォレットを空にします。## **スパイツールから犯罪兵器へ**Corunaエクスプロイトキットがさまざまな脅威アクターに拡散した方法は、最も懸念される問題の一つです。調査によると、このフレームワークは2025年に、商用スパイウェアのクライアントに関連した標的監視活動の一環として最初に確認されました。同年、ウクライナのウェブサイトに対するウォータリングホール攻撃にもこのエクスプロイトインフラが利用され、ロシアのスパイグループとされる攻撃者によって仕掛けられました。2025年以降、ツールキットは、偽の暗号通貨やギャンブルサイトを用いたサイバー犯罪組織の資金調達活動に再登場しました。セキュリティ研究者は、ハッカーが数百の悪意のあるウェブサイトにエクスプロイトキットを設置し、何万ものデバイスを感染させ、暗号通貨ウォレットに関するユーザー情報を盗んだと推測しています。この開発は、最先端のサイバー諜報技術が最終的に犯罪エコシステム全体に広がる様子を示しています。## **ゼロデイ脆弱性の市場拡大**セキュリティアナリストは、Corunaがサイバーセキュリティ分野のさらなる大きなトレンドを示していると指摘します。それは、高度なハッキングツールの闇市場の発展です。政府が市民を監視したり情報収集を目的として開発したより洗練されたエクスプロイトフレームワークは、個別のベンダーや闇市場に流出し、最終的にサイバー犯罪者の手に渡ることがあります。最近の報告では、Corunaは未公開の脆弱性を悪用した過去の高高度監視活動「Operation Triangulation」と比較されるほどの規模に達しているとされています。これらのツールがスパイ活動の範囲を超え、金融サイバー犯罪に移行していることは懸念材料です。高度なエクスプロイトは非常に早く闇市場に流通しやすいためです。## **Appleデバイスも大規模攻撃の対象に**長年、Appleのモバイルエコシステムは、厳格なアプリ環境とクローズドなハードウェア・ソフトウェアシステムにより、他の競合システムより安全と見なされてきました。しかし、Corunaのような事例は、最も安全とされるシステムでも、複数のゼロデイ脆弱性にアクセスできれば突破される可能性があることを示しています。セキュリティ専門家によると、このエクスプロイトキットの設計は特に懸念されており、大規模な一斉攻撃を可能にします。単一の悪意のあるサイトに訪れるだけで、脆弱なすべてのマシンが感染します。特に、暗号通貨を利用し、分散型アプリやトークン請求ページ、サードパーティの取引サービスを頻繁に利用するユーザーにとっては、暗号詐欺の増加とともに非常に危険です。## **対策とAppleの対応**幸いなことに、研究者は、Appleが新しいOSリリースでCorunaが悪用していた脆弱性に対処していることを指摘しています。最新のiOSバージョンを使用しているユーザーには、Corunaが影響を及ぼす可能性は低いと考えられています。セキュリティチームは、すべてのiPhoneユーザーに対し、最新のiOSにアップデートするよう推奨しています。アップデートにより、Corunaが最初にシステムにアクセスするための脆弱性は解消されます。また、デバイスの保護のために、Appleの「ロックダウンモード」を有効にすることも推奨されています。これは、デバイスの高度なスパイウェア侵入を防ぐためのオプションであり、アップデートできない場合に有効です。研究者によると、ロックダウンモードが有効な場合、Corunaは自動的に動作を停止するとされています。
Coruna iPhoneの脆弱性が暗号通貨ウォレットを標的、セキュリティ研究者が警告
概要
サイバーセキュリティ研究者は、iOS 13〜17.2.1を実行しているiPhoneを標的とし、複数のゼロデイ脆弱性を利用して暗号通貨ウォレットの資格情報を盗み出す高度なツールキット「Corunaエクスプロイトキット」を発見しました。
サイバーセキュリティの研究者は、AppleのiPhoneのセキュリティシステムを回避し、ユーザーの暗号通貨ウォレットから資金を盗むことができる強力なハッキングツールキットを発見しました。このエクスプロイトキットは「Coruna」と呼ばれ、AppleのモバイルOSの複数の脆弱性を悪用し、すでにスパイ活動や金銭目的のサイバー犯罪に利用されています。
Googleの脅威情報グループのセキュリティ研究者は、Corunaフレームワークには23種類の異なるエクスプロイトが複数の攻撃チェーンにまとめられており、古いバージョンのAppleモバイルソフトウェアを使用しているデバイスを攻撃できることを発見しました。感染後、マルウェアは暗号通貨ウォレットや銀行情報などの機密データをスキャンします。
この発見は、モバイルウォレットを利用してデジタル資産を保管している暗号通貨利用者にとって、リスクが高まっていることを示しています。モバイル取引や分散型金融(DeFi)アプリの普及に伴い、攻撃者はスマートフォンをデジタル資金へのアクセス点として狙い始めています。
多重攻撃経路を持つ高度なツールキット
Corunaエクスプロイトキットは、これまでに公開された中で最も高度なiPhone攻撃構造の一つと見なされています。セキュリティ専門家は、このツールキットがiOS 13からiOS 17.2.1までのバージョンを動作させるデバイスを攻撃できると指摘しています。これは、2019年以降2023年末までに発売されたiPhoneに該当します。
Corunaは単一の脆弱性ではなく、5つの攻撃チェーンに23種類のエクスプロイトを組み合わせており、Appleの複数のセキュリティ保護層を突破できる仕組みになっています。
攻撃は、多くの場合、悪意のあるサイトを訪れるだけで完了します。感染したページが脆弱なデバイスに読み込まれると、隠されたエクスプロイトコードが自動的に実行され、攻撃者はデバイスを制御し、マルウェアをインストールします。
最初に、デバイスのモデルや使用中のOSの種類を特定するための指紋を採取します。その後、セキュリティ対策を突破し、悪意のあるソフトウェアをインストールするための適切なエクスプロイトチェーンを選択します。
暗号通貨ウォレットが主要ターゲットに
デバイスが感染すると、マルウェアは価値のあるデータ、特に暗号通貨の資格情報を盗むことを目的とします。調査によると、マルウェアはメッセージ、ノート、アプリケーションデータをスキャンし、暗号通貨のリカバリーフレーズに関連するキーワードを探します。
特に、「mnemonic phrase(ニーモニックフレーズ)」「backup phrase(バックアップフレーズ)」「bank account(銀行口座)」といった言葉を検索し、これらが見つかると、攻撃者はそれらを利用して被害者のウォレットを別のデバイスで復元し、資金に完全にアクセスします。
研究者によると、このエクスプロイトキットは、分散型金融(DeFi)プロトコルや取引プラットフォームにリンクする人気のある複数のウォレットアプリを標的としています。
報告によると、少なくとも18の暗号通貨アプリが、感染したデバイスにインストールされている場合にデータ抽出をサポートしています。マルウェアは機密データを収集した後、攻撃者が管理するリモートのコマンド&コントロールサーバーにデータを送信し、短時間で被害者のウォレットを空にします。
スパイツールから犯罪兵器へ
Corunaエクスプロイトキットがさまざまな脅威アクターに拡散した方法は、最も懸念される問題の一つです。調査によると、このフレームワークは2025年に、商用スパイウェアのクライアントに関連した標的監視活動の一環として最初に確認されました。
同年、ウクライナのウェブサイトに対するウォータリングホール攻撃にもこのエクスプロイトインフラが利用され、ロシアのスパイグループとされる攻撃者によって仕掛けられました。
2025年以降、ツールキットは、偽の暗号通貨やギャンブルサイトを用いたサイバー犯罪組織の資金調達活動に再登場しました。
セキュリティ研究者は、ハッカーが数百の悪意のあるウェブサイトにエクスプロイトキットを設置し、何万ものデバイスを感染させ、暗号通貨ウォレットに関するユーザー情報を盗んだと推測しています。この開発は、最先端のサイバー諜報技術が最終的に犯罪エコシステム全体に広がる様子を示しています。
ゼロデイ脆弱性の市場拡大
セキュリティアナリストは、Corunaがサイバーセキュリティ分野のさらなる大きなトレンドを示していると指摘します。それは、高度なハッキングツールの闇市場の発展です。
政府が市民を監視したり情報収集を目的として開発したより洗練されたエクスプロイトフレームワークは、個別のベンダーや闇市場に流出し、最終的にサイバー犯罪者の手に渡ることがあります。
最近の報告では、Corunaは未公開の脆弱性を悪用した過去の高高度監視活動「Operation Triangulation」と比較されるほどの規模に達しているとされています。
これらのツールがスパイ活動の範囲を超え、金融サイバー犯罪に移行していることは懸念材料です。高度なエクスプロイトは非常に早く闇市場に流通しやすいためです。
Appleデバイスも大規模攻撃の対象に
長年、Appleのモバイルエコシステムは、厳格なアプリ環境とクローズドなハードウェア・ソフトウェアシステムにより、他の競合システムより安全と見なされてきました。
しかし、Corunaのような事例は、最も安全とされるシステムでも、複数のゼロデイ脆弱性にアクセスできれば突破される可能性があることを示しています。
セキュリティ専門家によると、このエクスプロイトキットの設計は特に懸念されており、大規模な一斉攻撃を可能にします。単一の悪意のあるサイトに訪れるだけで、脆弱なすべてのマシンが感染します。
特に、暗号通貨を利用し、分散型アプリやトークン請求ページ、サードパーティの取引サービスを頻繁に利用するユーザーにとっては、暗号詐欺の増加とともに非常に危険です。
対策とAppleの対応
幸いなことに、研究者は、Appleが新しいOSリリースでCorunaが悪用していた脆弱性に対処していることを指摘しています。
最新のiOSバージョンを使用しているユーザーには、Corunaが影響を及ぼす可能性は低いと考えられています。セキュリティチームは、すべてのiPhoneユーザーに対し、最新のiOSにアップデートするよう推奨しています。アップデートにより、Corunaが最初にシステムにアクセスするための脆弱性は解消されます。
また、デバイスの保護のために、Appleの「ロックダウンモード」を有効にすることも推奨されています。これは、デバイスの高度なスパイウェア侵入を防ぐためのオプションであり、アップデートできない場合に有効です。研究者によると、ロックダウンモードが有効な場合、Corunaは自動的に動作を停止するとされています。