Googleの脅威インテリジェンスグループ(GTIG)は、iOS向けの強力なエクスプロイトキット「Coruna」に関する新しい報告書を発表しました。このキットは、監視ベンダーの顧客からロシアのスパイグループ、そして中国のサイバー犯罪者へと移動し、その過程で高度なエクスプロイト「サプライチェーン」が明らかになりました。

Corunaの概要

Corunaは、iOS 13.0からiOS 17.2.1までのiPhoneを標的としています。GTIGによると、このキットは2025年2月に初めて発見され、商業的な監視ベンダーの顧客によって使用されていました。その後、2025年夏にはロシアのスパイグループがウクライナのユーザーを標的とする「ウォーターホール攻撃」でこのフレームワークを使用しました。そして、2025年末には中国のサイバー犯罪者が、偽の金融や暗号通貨のウェブサイトでこのキットを使用しました。

エクスプロイトキットの特徴

• エクスプロイトキットは、ユーザーが訪問したウェブサイトを分析し、ユーザーのデバイスとソフトウェアバージョンに基づいて最適な攻撃を選びます。
• AppleのLockdown Modeがオンになっている場合、このキットは攻撃を中止します。
• 攻撃コードは強力な暗号化で保護されており、セキュリティ研究者が解析するのが難しい。
• 攻撃コードには詳細な英語の説明が含まれており、公開されていない攻撃手法を使用しています。
• 暗号通貨ウォレットや金融データを標的とし、18の異なる暗号アプリからウォレット資格情報を抽出することができます。
• QRコードを画像からデコードし、特定のキーワードやBIP39ワードシーケンスを検索するモジュールも含まれています。

対策

現在、iOS 17.2.1またはそれ以前のバージョンを使用しているユーザーは、このエクスプロイトキットの攻撃対象となり得ます。新しいiOSバージョンでは機能しないので、アップデートを確認してください。また、Lockdown Modeを有効にすることで、この強力なエクスプロイトキットから保護される可能性があります。

元記事: https://www.macrumors.com/2026/03/05/ios-exploit-kit-lockdown-mode-stops-it/