2026.04.02

【iOS 速報】「Coruna」など新型攻撃ツールを確認。全ユーザー、今すぐソフトウェアアップデートを！

古いバージョンの iOS を狙う脅威悪意あるサイトに訪れるだけで危険自分のデバイスは大丈夫？バージョン別の対応策 Google が追跡した「Coruna」はなぜ、一般企業にも無関係でないのか新たな脅威「DarkSword」｜Coruna の技術が進化し、最新iOSへ

古いバージョンの iOS を狙う脅威

Apple は、古いバージョンの iOS を搭載した iPhone が、「Coruna」および「DarkSword」と呼ばれるエクスプロイトキットによる攻撃にさらされていると警告し、ユーザーに対してiOSを最新バージョンへアップデートするよう強く呼びかけています。

Coruna ならびに DarkSword とは、一言で言えば iPhone を乗っ取るための攻撃ツールです。特定のWebサイトを閲覧するだけで、iPhoneの脆弱性を自動的に突いてくるものです。攻撃が成功すると、パスワードや暗号資産ウォレット、銀行情報などの重要なデータが、ユーザーが気づかないうちに外部へ送信されてしまいます。どちらも国家機関や高度なサイバー犯罪グループによる利用が確認されており、一般の企業や個人も標的になり得ます。

悪意あるサイトに訪れるだけで危険

セキュリティ研究者は、古い iOS バージョンを標的にしたWebベースの攻撃を特定しました。これらの攻撃は、悪意あるリンクをクリックするだけでなく、改ざんされたWebサイトを訪れるだけで脆弱性を突かれてしまうものです。攻撃が成功した場合、iPhone に保存された重要なデータが窃取される恐れがあると、Apple のセキュリティアドバイザリは警告しています。

フィッシングとは異なり、ユーザーが能動的に情報を入力する必要はありません。脆弱性のあるiOSを使用していれば、該当するサイトやリンクを踏むだけで被害を受ける可能性があります。

これは、多くの人が訪れるようなサイトに悪意のあるプログラムを仕込む「Watering hole攻撃（水飲み場攻撃）」という手口によるものです。Apple は問題を徹底的に調査し、最新のOSバージョン向けにできる限り速やかにアップデートをリリースしたとしています。現時点で最新の iOS を使用しているデバイスは、これらの攻撃に対して脆弱ではないとのことです。

自分のデバイスは大丈夫？バージョン別の対応策

Apple は、バージョン別に以下の対応を推奨しています。

iOS 15〜iOS 26	適切にアップデートされていれば、すでに保護済みです。
iOS 15・16	2026年3月11日に、追加の保護を拡大するアップデートがリリースされています。
iOS 13・14	まず iOS 15 へアップグレードし、重要なセキュリティアップデートを適用してください。
Safari のセーフブラウジング機能	有効にしておくことで、既知の悪意あるドメインへのアクセスをデフォルトでブロックできます。

また、「ロックダウンモード^※」を有効にすることで、古い iOS でもこれらの攻撃をブロックできるとされていますが、それでもアップデートは強く推奨されています。

^{※ ロックダウンモード：iPhone に搭載されたセキュリティ強化機能で、不審なWebコンテンツや外部からの接続を厳しく制限するものです。このモードを有効にすることで、古い iOS でもこれらの攻撃をブロックできるとされていますが、それでもアップデートは強く推奨されています。}

Google が追跡した「Coruna」はなぜ、一般企業にも無関係でないのか

2025年2月、Google の Threat Intelligence Group（以下、GTIG）は、「Coruna（別名：CryptoWaters）」と呼ばれるiOS向けエクスプロイトキットを発見しました。

このツールキットが厄介なのは、その「出所と拡散の経緯」にあります。もともと Coruna は、ウクライナ・ロシア間の紛争を背景に、ロシア関連グループ「UNC6353^※」がウクライナへのサイバー攻撃に使用していたことが確認されています。いわば国家レベルの諜報活動のために開発、運用されてきたツールです。

^{※ UNC〇〇とは、Google がつけている脅威アクター名です。「Uncategorized」の頭文字を取ったものであり、「未分類」という意味です。}

ところが GTIG の追跡により、同じ Coruna がその後、中国系金融詐欺グループ「UNC6691」による大規模な詐欺攻撃にも転用されていたことが判明しました。国家の諜報目的で作られた高度な攻撃ツールが、金銭目的のサイバー犯罪グループに「二次流通」していたわけです。

これが今回の最大のリスクです。もはや標的は政府機関や軍事組織だけではなく、暗号資産を扱う個人や、セキュリティ対策が手薄な一般企業も十分に射程に入っています。Coruna の攻撃が成功すると、端末内の暗号資産ウォレットや銀行情報が自動的に外部へ送信されてしまいます。

詳細について関心のある方向けに、Coruna が対象とする iOS バージョンと脆弱性の一覧を以下に掲載しています。

タイプ	コードネーム	対象バージョン（含む）	修正済みバージョン	CVE（共通脆弱性識別子）
WebContent R/W	buffout	13 → 15.1.1	15.2	CVE-2021-30952
	jacurutu	15.2 → 15.5	15.6	CVE-2022-48503
	bluebird	15.6 → 16.1.2	16.2	No CVE
	terrorbird	16.2 → 16.5.1	16.6	CVE-2023-43000
	cassowary	16.6 → 17.2.1	16.7.5, 17.3	CVE-2024-23222
WebContent PAC bypass	breezy	13 → 14.x	？	No CVE
	breezy15	15 → 16.2	？	No CVE
	seedbell	16.3 → 16.5.1	？	No CVE
	seedbell_16_6	16.6 → 16.7.12	？	No CVE
	seedbell_17	17 → 17.2.1	？	No CVE
WebContent sandbox escape	IronLoader	16.0 → 16.3.116.4.0 (<= A12)	15.7.8, 16.5	CVE-2023-32409
WebContent sandbox escape	NeuronLoader	16.4.0 → 16.6.1 (A13-A16)	17	No CVE
PE	Neutron	13.X	14.2	CVE-2020-27932
PE (infoleak)	Dynamo	13.X	14.2	CVE-2020-27950
PE	Pendulum	14 → 14.4.x	14.7	No CVE
	Photon	14.5 → 15.7.6	15.7.7, 16.5.1	CVE-2023-32434
	Parallax	16.4 → 16.7	17	CVE-2023-41974
	Gruber	15.2 → 17.2.1	16.7.6, 17.3	No CVE
PPL Bypass	Quark	13.X	14.5	No CVE
	Gallium	14.x	15.7.8, 16.6	CVE-2023-38606
	Carbone	15.0 → 16.7.6	17	No CVE
	Sparrow	17.0 → 17.3	16.7.6, 17.4	CVE-2024-23225
	Rocket	17.1 → 17.4	16.7.8, 17.5	CVE-2024-23296

^引用：^{Coruna: The Mysterious Journey of a Powerful iOS Exploit Kit｜Google Cloud Blog}

新たな脅威「DarkSword」｜Coruna の技術が進化し、最新iOSへ

Coruna で培われた攻撃手法は、そこで止まりませんでした。

2025年末、Lookout Threat Labs は DarkSword と呼ばれる新たなエクスプロイトキットを発見しました。調査の結果、DarkSword は Coruna と同じ攻撃インフラや手法を引き継いでいることが確認されており、言わば Coruna の「次世代版」とも言える存在です。

注目すべきは、その標的です。Coruna が対象としていたiOS 17系までとは異なり、DarkSword は iOS 18.4 以降の最新バージョンを狙って開発されています。6つの脆弱性（うち3つはパッチ未公開のゼロデイ）を組み合わせてデバイスを完全制御し、認証情報や暗号資産ウォレット情報を素早く盗み出したあと、痕跡を消して撤退する「ヒット・アンド・ラン」型の手口が特徴です。

利用者の広がりも見逃せません。ウクライナを発端としたロシア関連グループによる使用にとどまらず、サウジアラビア、トルコ、マレーシアなど複数の地域を標的としたキャンペーンへの転用が確認されており、Coruna と同様に「二次流通」が進んでいると GTIG は見ています。

まとめ

Coruna も DarkSword も、狙いはどちらも同じであり、古い iOS を使っている iPhone に侵入し、暗号資産や銀行情報を盗み出すことにあります。そして両者に共通しているのは、もともと国家レベルのサイバー攻撃として開発された技術が、今では全く別の目的、地域、グループへと拡散しているという点です。「自分は標的にならない」という前提は、もはや通用しないと考えておくべきでしょう。

何よりも確実で、今すぐできる唯一の対策は「iOS を最新バージョンにアップデートすること」です。ご自身の大切なデータとプライバシーを守るため、迅速な対応を強く推奨します。

執筆者

髙橋拓実

セキュリティ商材のプリセールス、社内システムエンジニアとしてのセキュリティ対策主幹業務を経て、ペネトレーションテスターや脆弱性診断士として従事。現在は、情報セキュリティスペシャリストとして、ITサービスの企画立案、コンサルティング対応、診断業務を行う。ISMSの認証取得支援にも携わり、セキュリティ分野で幅広い業務を担当。GIAC GWAPT、CEH、CHFIなどの専門資格を保持し、セキュリティ分野における高い専門性を証明。また、会議や商談において英語での会議通訳などの対応も執り行う。

【セミナーレポート】セキュリティって何から始めるべき？UTMで担保する最低限のセキュリティと“その先”