背景
米国のサイバーセキュリティ機関であるCISA(サイバーセキュリティとインフラストラクチャセキュリティ庁)は、連邦機関に対して3つの重要なiOSの脆弱性を修正するよう指示しました。これらの脆弱性は、10ヶ月にわたるハッキングキャンペーンで3つの異なるグループによって悪用されていました。
Googleの報告
これらのハッキングキャンペーンは、木曜日にGoogleが発表した報告書によって明らかになりました。Googleは、これらのキャンペーンが「Coruna」という高度なハッキングキットを使用していたと報告しました。このキットは、23の異なるiOSの脆弱性を5つの強力なエクスプロイトチェーンにまとめています。
Corunaの詳細
Googleの研究者は、Corunaの技術的な価値は「iOSの脆弱性の包括的な収集」にあると述べています。また、これらのエクスプロイトには、ネイティブの英語で書かれたドキュメンテーションが含まれていると報告しています。
CISAの対応
CISAは、木曜日にこれらの脆弱性のうち3つを「既知の悪用された脆弱性」のカタログに追加しました。これにより、CISAの権限下にある連邦機関は、これらの脆弱性を修正するよう指示を受けました。
脆弱性の詳細
これらの脆弱性は、iOSバージョン13から17.2.1までを対象としています。17.2.1以降のバージョンは脆弱ではありません。また、AppleのLockdownが有効になっている場合や、ブラウザがプライベートブラウジングモードになっている場合、これらの脆弱性は悪用されません。
Corunaの高度な機能
Corunaには、検出や逆エンジニアリングを防ぐ独自のオブスキュレーション手法を使用するJavaScriptフレームワークが含まれています。このフレームワークは、デバイスの情報を収集するフィンガープリントモジュールを実行し、その結果に基づいて適切なWebKitエクスプロイトと防御回避コードを読み込みます。
Corunaの使用状況
- 2024年2月、監視ベンダーの顧客によって使用された。
- 2025年7月、ウクライナのターゲットを標的としたウェブサイトで使用された。
- 2025年12月、中国の経済的動機を持つ脅威アクターによって使用された。
結論
Googleの研究者は、これらの脆弱性が「2次利用」された可能性があると指摘しています。また、複数の脅威アクターが、新たに発見された脆弱性と組み合わせて再利用可能な高度なエクスプロイト技術を獲得している可能性があると警告しています。