国家級のiOS攻撃チェーンが「キット化」──Corunaが示すゼロデイ二次市場の現実と企業モバイル防御の再設計

今日の深掘りポイント

• iOS 13〜17.2.1を跨いで動作する23個のエクスプロイトと5本の完全な攻撃チェーンを束ねる「Coruna」は、国家レベルの手口が「商品パッケージ」として流通し始めたサインです。
• 商業監視→国家支援→金銭目的（中国発を含む）へと技術が水平展開しており、ゼロデイの“二次流通”が現実化しています。スパイウェアは「超標的」から「準マス」へ拡張しつつあります。
• WebKit起点のドライブバイ侵害とデバイス指紋取得→適合RCE選択のフレームワーク化は、従来のURL／ドメイン単位ブロックを素通りする設計です。防御は“挙動”と“バージョン準拠”の両輪が必要です。
• 組織は「誰がLockdown Modeを常用すべきか」を明確化し、MDMでの最小OSバージョン強制とNRD（新規登録ドメイン）制御、旅行運用（Travel Playbook）を直ちに整備すべき局面です。
• 本件は新規性・即時性・実現可能性が高く、短期の運用変更で有効打を出せる一方、長期はモバイル・テレメトリとIRプレイブックの刷新が問われます。

はじめに

Googleの発見により、iOS 13.0〜17.2.1を対象とする新しいエクスプロイトキット「Coruna」が報告されました。合計23のエクスプロイトと5つの完全な攻撃チェーン、さらに非公開のエクスプロイト技術や緩和策バイパスを含む点が注目点です。商業監視オペレーションから国家支援、最終的には中国からの金銭的動機を持つグループへと横展開したとされ、ゼロデイの“二次市場”の存在を強く示唆します。つまり、これまで“ごく限られた標的”に使われていたモバイル・スパイウェアの弾が、より広範なターゲティングに降りてきているということです。

本稿では、現時点で公知の事実を起点に、運用面での即応策と、企業のモバイル防御アーキテクチャをどう見直すべきかを、CISO／SOC／TIの視点で掘り下げます。

参考情報の一次出典（Googleの詳細技術ブログ等）は本稿執筆時点で直接確認できていません。以下の事実認識は二次報道をもとにしています。

• The Hacker News（2026-03-04）: CorunaはiOS 13–17.2.1に対し23のエクスプロイトと5本のチェーンを持ち、非公開の緩和バイパスやデバイス指紋化JSで適合するWebKit RCEを選択して投下する、と報じています。国家級から犯罪者へと技術が流れ、スパイウェアの拡張が進むと指摘しています。

出典: The Hacker News: Coruna iOS Exploit Kit Uses 23 Exploits (2026/03/04)

深掘り詳細

事実：いま分かっていること

• 対象OS範囲はiOS 13.0〜17.2.1で、23の個別エクスプロイトと5本の完全な攻撃チェーンを内包するエクスプロイトキットである、と報じられています。
• 公開されていない（未文書化の）エクスプロイト技術や各種緩和策（Mitigation）のバイパスを取り込んでおり、単発の穴ではなく「チェーンとしての完成度」を持ちます。
• JavaScriptベースのフレームワークでデバイスやOSビルドを識別し、適合するWebKit RCEをロードする、と報じられています。これは“使える弾を現場で選ぶ”自動販売機型の実装です。
• 技術の供給経路は、商業監視（Commercial Surveillance）→国家支援オペレーション→金銭目的の脅威者へと段階的に流れたとされ、ゼロデイの二次流通市場の存在を示唆します。
• 勧告としては、最新OSへの更新とLockdown Modeの活用が挙げられています。

出典: The Hacker News（前掲）

インサイト：なぜこれが“転換点”なのか

• 「幅広いOSレンジ×複数RCEの適合投下」は、PC時代のBlackhole/RIGのような“攻撃面の一般化”をモバイルにもたらします。これにより、攻撃者はパッチ適用の遅れや旧端末の長尾分布を効率よく刈り取りやすくなります。
• ゼロデイの二次市場が機能しているという示唆は、一次利用（国家級・スパイウェア）で価値を回収した後、n-day化した弾が短時間で犯罪市場に下りてくる“収益の多層化”を意味します。結果として、パッチ公開から犯罪利用までのリードタイムはさらに短縮しやすくなります。
• iOSはコード署名とサンドボックスで永続化が相対的に難しいため、攻撃者は「ゼロクリック／ワンクリックの侵入→迅速なデータ収集→短命C2」の運用で充分な価値を得られます。すなわち、“持続化検知”に依存した従来の検出観が通用しにくく、ブラウザ経由の一過性挙動やネットワークでの弱い痕跡を拾える体制が重要になります。
• Lockdown Modeは攻撃面を大幅に狭めますが、全社員に適用する現実性は低いです。よって「誰に恒常適用するか（役員、外交・広報、政経・公共対応、対外折衝、頻繁な海外渡航者など）」を明確に定義し、運用負荷とリスクのバランスを設計することが肝になります。
• 本件の新規性と即時性は高く、信頼度も相応に担保されています。一方で、技術詳細（CVEの内訳、インフラIOC、C2挙動）の公開待ちとなるため、当面は“構造的リスク”に対するコントロール（パッチ準拠、NRD制御、Lockdownの選択適用、旅行プレイブック）で差をつけるのが現実解です。

脅威シナリオと影響

以下はMITRE ATT&CK for Mobileの枠組みに沿った仮説シナリオです（仮説であり、Coruna固有の挙動として断定するものではありません）。

• 初期侵入（Initial Access）
  • ウォータリングホール型のドライブバイ（信頼された地域サイトや業界メディアに埋め込み、WebKit RCEで踏み口を作る）です。
  • メッセージ/メールの1クリック誘導（短縮URL・カレンダー招待・配送通知・カスタマーサポート偽装）です。
  • 公衆Wi‑Fiの偽装ポータルからの誘導（HTTP 302チェーンや広告枠の悪用）です。
• 実行・権限昇格（Execution / Privilege Escalation）
  • WebKit RCE→サンドボックスエスケープ→カーネル権限化の多段チェーンです。
  • iOSの緩和策（JITハードニング、PACなど）へのバイパスが含まれると報じられており、チェーンとして完成度が高いです（報道ベースの解釈）です。
• 防御回避（Defense Evasion）
  • 短命インフラとHTTPS標準ポートを用いたC2、プロセスの一過性実行でログの可視化を困難化します。
  • デバイス指紋で脆弱バージョンにのみ投下し、露見を抑えます。
• 発見・収集・送出（Discovery / Collection / Exfiltration）
  • デバイス情報、位置情報、ブラウザ・Cookie/トークン、メッセージ/通話メタデータ、クリップボード等の回収が想定されます（一般的なモバイルスパイウェアの行動に基づく仮説）です。
• 指揮統制（C2）
  • CDN/クラウドを踏み台にしたHTTPS C2、NRDの高速ローテーション、正規ドメインとの混在を想定します。

影響の観点では、以下が現実的です。

• 身元連携の侵食です。モバイルは多要素トークンやSSOトラストの“錨”になっているため、ブラウザCookie/リフレッシュトークンの窃取は企業境界へ間接的に波及します。
• 役員・営業・対外折衝の現地訪問が多い組織は、旅行先のローカルWeb/広告在庫や公衆Wi‑Fi経由の露出が相対的に高まります。
• 旧OS端末の“長尾”が依然として可視化されにくい環境では、n‑day（既知脆弱性）での効率的な刈り取りが続く可能性があります。

参考: MITRE ATT&CK for Mobileのマトリクス全体像は以下を参照ください（一般的フレームワークの参照であり、Coruna固有の技術IDを特定するものではありません）です。
MITRE ATT&CK for Mobile

セキュリティ担当者のアクション

“いますぐできること”と“30〜90日で組織設計を変えること”を分けて提示します。

• 24〜72時間（即応）

  • 最小OSバージョンの強制です。MDMでiOSの準拠バージョンを直ちに17.2.1より新しい安定版へ引き上げ、非準拠端末は段階的に企業データアクセスを遮断します（例：メール／SSOアプリの条件付きアクセス）です。
  • ハイリスク・ペルソナへのLockdown Mode常時適用です。対象は経営陣、広報・渉外、公共政策、対外折衝、頻繁な海外出張者、研究開発の要員などです。
  • プロキシ/DNSでのNRD（新規登録ドメイン）アクセス制御の強化です。iOSのUser-Agentを持つトラフィックに対し、NRD・希少ドメインへのGET/POSTを追加審査・隔離します。
  • ウォータリングホール想定のブロックリストは限定効率に留まるため、URLカテゴリではなく「短命TLS証明書・低信頼AS・異常UA/OSミスマッチ」の挙動ルールを追加します。
  • 社内告知です。社給iPhoneのSafari経由での不審なページ遷移、突然のクラッシュ（特にSafari/WebKit関連）を報告する簡易チャネル（フォーム/チケット）を即日用意します。

• 1〜4週間（短期強化）

  • 旅行プレイブック（Travel Playbook）の整備です。貸出用“クリーン”端末、現地eSIM、渡航前後のOS再初期化、滞在中のLockdown常時適用、戻り次第の端末交換とアカウント再認証フローを定義します。
  • 条件付きアクセスの分離です。モバイルからのSSOはデバイストラスト（MDM登録、OS準拠、Jailbreak検知相当、Lockdown適用フラグ等）を前提にします。満たさない端末は低権限のみに制限します。
  • モバイル・テレメトリの拡充です。MDMと連携したクラッシュログ収集（特にWebKit/Safari）、ブラウザ拡張は使えない前提でのネットワーク挙動監視（NRD、SNI/JA3、ドメイン年齢）を整備します。
  • iOS IRプレイブックの整備です。疑義端末は機内モード化→電源OFFを避ける（揮発データ保全の観点での判断）→MDMからログ収集→ネットワーク隔離→ベンダ連携の順で標準化します。高リスク事案ではOS更新前にログ採取を優先します（植込みの証跡保全のため）です。
  • 高度事案向けの検証ツールチェーンを用意します。AmnestyのMobile Verification Toolkit（MVT）はiOSのバックアップ/ログから痕跡抽出に有用です（使いこなしには熟練が要ります）です。
    参考: Mobile Verification Toolkit (MVT)

• 1〜3ヶ月（中期の構造改革）

  • デバイス・ライフサイクルの見直しです。AppleのメジャーOSサポート年限を踏まえ、企業としての“セキュリティEOS”を独自に定義し、EOS端末は業務データアクセスを許容しない方針に移行します。
  • 役割別セキュリティ・プロファイルの定義です。Lockdown常時適用層、渡航時適用層、通常層の3階層で運用ルールと例外処理を明文化します。
  • ネットワーク側の“モバイル特有”検知ファースト戦略です。PCと同一のIOC依存を脱し、モバイルUAのOS/ビルド不整合、短命証明書、NRD、急増する同一SNIへのPOSTなど、“動的兆候”に舵を切ります。
  • ベンダ・関係機関との連携チャネル確立です。TAGやプラットフォーマの高危指標（高優先アラート）を即時運用に落とす体制を整備します。IoC未公開期でも、構造的対策を動かせるようにします。

• 教育・コミュニケーション

  • 「クリックしない」教育だけでは不十分です。ドライブバイ侵入が主軸となるため、「不意のページ遷移や突然のクラッシュ＝報告」という行動様式を周知します。
  • ハイリスク層にはLockdown Modeの副作用（機能制限）と、その代替業務フローを具体的に示し、納得感を作ります。

最後に、本件は“特定CVEを塞げば終わり”ではない類型です。攻撃者はOSバージョンの長尾と、WebKit起点の一過性実行に賭けています。こちらは「バージョン準拠の徹底」と「挙動検知の地力」を積み上げることで、合理的にリスクを減らせます。ゼロデイの二次流通が常態化するなら、私たちの運用も“二次元”で備えるべきです──パッチ管理と、ネットワーク行動の洞察です。

参考情報

• The Hacker News: Coruna iOS Exploit Kit Uses 23 Exploits, Targets iOS 13–17.2.1（2026/03/04）: https://thehackernews.com/2026/03/coruna-ios-exploit-kit-uses-23-exploits.html
• MITRE ATT&CK for Mobile（フレームワーク参照）: https://attack.mitre.org/matrices/mobile/
• Amnesty Mobile Verification Toolkit（MVT）: https://github.com/mvt-project/mvt

本稿では、現時点で確認できる公知情報をもとに論点整理を行いました。一次情報の追加公開があれば、IOCやチェーン内訳の観点で追補し、検知・封じ込めの具体策をアップデートします。そういう地道な追いかけこそが、モバイルの防御力を本当に底上げする近道です。