iOSを標的とする「Coruna(別名:CryptoWaters)」と呼ばれる極めて強力なエクスプロイトキットが確認されました。iOS 13から17.2.1までを対象に、合計23件の脆弱性を5つの攻撃チェーンで組み合わせて悪用していると報じられています。本記事では、Googleの脅威分析チームによる報道内容をもとに、その概要と日本の利用者・企業が取るべき現実的な対応を整理します。
出典:The Hacker News:Coruna iOS Exploit Kit Uses 23 Exploits Across Five Chains Targeting iOS 13–17.2.1
この記事のポイント
影響のあるシステム
- Apple iOS 13 〜 iOS 17.2.1 を搭載するiPhone端末
- モバイルSafariなどWebコンテンツを処理するコンポーネント(WebKit)
- 企業で業務利用されている管理対象外のBYOD端末
推奨される対策
- iOSを最新バージョン(17.3以降)へ速やかにアップデートすること
- 特に標的となるリスクが高いユーザーは、iOSの「ロックダウンモード」を有効にする
- MDM(モバイルデバイス管理)によるOSバージョンの一元管理とポリシー適用
- 暗号資産(仮想通貨)ウォレットアプリを利用している端末の監視強化
この記事に出てくる専門用語
- エクスプロイトキット: 複数の脆弱性攻撃コードをまとめ、効率的に標的を侵害するための攻撃ツール群。
- 攻撃チェーン: 複数の脆弱性を段階的に組み合わせ、最終的なフルコントロール(権限奪取)を達成する一連のプロセス。
- ロックダウンモード: Appleが提供する、サイバー攻撃の標的となる可能性が高いユーザー向けの極めて強力な保護機能。
23件の脆弱性を組み合わせた攻撃基盤の実態
報道によると、「Coruna」は合計23件もの脆弱性を利用し、5つの異なる攻撃チェーンを構成しています。このキットの恐ろしさは、かつては国家主導の高度なスパイ活動に使われていた技術が、現在は金銭目的のサイバー犯罪グループの手に渡り、広範なユーザーに対して展開されている点にあります。
具体的には、改ざんされたWebサイトにアクセスしたiPhoneのモデルやOSバージョンを特定し、その端末に最適な攻撃コード(WebKitのRCEやPACバイパスなど)を自動で流し込む仕組みを持っています。これにより、利用者が気づかないうちに端末の制御を奪われるリスクがあります。
巧妙化する標的と金銭的被害のリスク
これまでiOSへの高度な攻撃は「特定の要人」を狙ったものが主流でしたが、Corunaはより広範な「金銭奪取」へと目的を変遷させています。
報告によると、侵害された端末には「PlasmaLoader」と呼ばれるバイパス用プログラムが送り込まれ、最終的に暗号資産ウォレット(MetaMask、Exodus、Bitget Walletなど)から資産を盗み出すことや、機密情報の流出が狙われています。実際に、ウクライナのECサイトや中国の金融関連サイトなど、一般ユーザーが日常的に利用するサイトに攻撃の仕掛けが隠されていた事例も確認されています。
日本企業と利用者が取るべき現実的な対応
今回の事案を受け、日本国内の企業や利用者が取るべき最優先の行動は、「OSのアップデート」です。幸いなことに、このエクスプロイトキットはiOS 17.3以降では有効ではないことが確認されています。
また、特筆すべき事実として、Corunaは「ロックダウンモード」が有効な端末や「プライベートブラウズ」を使用している場合は実行をスキップするという特徴があります。高度な保護機能が実際に有効であることが証明された形です。
企業においては、MDMを活用して「iOS 17.3未満」の端末を早期に特定し、アップデートを促すとともに、暗号資産を扱う部署や経営層など、リスクの高い端末では「ロックダウンモード」の活用を周知することが、強力な防御策となります。
