iPhoneを狙うエクスプロイトキット「Coruna」、Operation Triangulationとの繋がりを確認
セキュリティ企業Kasperskyは2026年3月26日、iOS向けエクスプロイトキット「Coruna」が、2023年に発覚したiPhoneスパイ作戦「Operation Triangulation」で使用されたフレームワークの後継版であると報告した。
Operation Triangulationとは
Operation Triangulationは、iMessageのゼロクリック脆弱性を悪用してiPhoneに密かにスパイウェアを感染させる、高度な持続的脅威(APT)キャンペーンだ。Kaspersky自社ネットワーク内のデバイスへの不審な通信を2023年6月に検知したことで発覚したが、攻撃自体は2019年頃から続いていたとされる。2023年末には、Appleチップの未文書化機能を悪用してハードウェアレベルのセキュリティ保護を回避していたことも明らかになっており、日本のセキュリティコミュニティでも広く注目を集めた。
Corunaの技術的詳細
Corunaには5つの完全なiOSエクスプロイトチェーンが含まれ、計23件の脆弱性を利用する。中でもOperation Triangulationで使われたCVE-2023-32434とCVE-2023-38606が引き続き組み込まれており、KasperskyはこれらのカーネルエクスプロイトコードがTriangulationの更新版であると結論づけた。
攻撃の流れはSafariを起点とし、以下のステップで進む。
- デバイスのフィンガープリント収集 — Safariのステージャーがデバイス情報を収集し、適切なRCEおよびPACエクスプロイトを選択
- ペイロードの取得と復号 — 暗号化されたコンポーネントをダウンロードし、ChaCha20で復号、LZMAで展開
- カーネルエクスプロイトの実行 — デバイスのアーキテクチャとiOSバージョンに応じて最適なエクスプロイト、Mach-Oローダー、ランチャーを選択してスパイウェアを展開
対応アーキテクチャはARM64およびARM64Eで、Apple A17・M3・M3 Pro・M3 Maxチップを明示的にチェックするコードが確認されている。対象となるiOSバージョンはiOS 17.2未満まで広がっている。
「精密なスパイツールが無差別兵器に」
Kaspersky GReATの主任セキュリティ研究員Boris Larin氏は次のように述べている。
「Corunaは公開されたエクスプロイトの寄せ集めではなく、Operation Triangulationの元フレームワークを継続的に保守・進化させたものだ。」 特に懸念されるのは、当初はピンポイントのスパイ目的だったCorunaが、仮想通貨詐欺サイトを使った金銭的動機のあるキャンペーンにも転用されている点だ。Larin氏は「精密なスパイツールが今や無差別に展開されている」と警告している。
同時期に発覚した別のエクスプロイトキット「DarkSword」
今月初めにはLookout、iVerify、Googleが別のiOS向けエクスプロイトキット「DarkSword」を公開した。DarkSwordも複数の脅威アクターに使用されているが、現在は一般公開されており、未パッチのiPhoneを狙うサイバー犯罪者が悪用するリスクが高まっている。
Appleの対応
AppleはCoruna・DarkSword両キットで悪用されている脆弱性への対処を公式に表明しており、最新のiOSアップデートおよび旧バージョン向けセキュリティアップデートで修正が提供されている。iPhoneユーザーは速やかにOSを最新版へ更新することが強く推奨される。
元記事: Coruna iOS exploit framework linked to Triangulation attacks