グーグルがアップルのWebKitの脆弱性を公開：iOS 13〜17.2.1に影響、約4.2万台のiPhoneが「現金自動預け払い機」になってしまう

IT之家3月4日消息、Googleは本日（3月4日）、ブログ記事を公開し、コードネーム「Coruna」のiPhone破解ツールキットについて明らかにしました。このツールはiOS13から17.2.1を搭載したiPhoneモデルに影響を及ぼす可能性があり、証拠によると外国のスパイやサイバー犯罪者の手に渡っていることが示されています。

Googleは、この破解ツールキットは現在、iOS13.0（2019年9月リリース）から17.2.1（2023年12月リリース）までのバージョンに対してのみ有効であり、AppleはiOS18バージョンで修正済みであると指摘しています。

Corunaツールキットは、5つの完全なiOSの脆弱性利用チェーンを含み、合計23の脆弱性利用プログラムから構成されています。その核心的価値は、複数の未公開の脆弱性利用技術や緩和策回避手段を統合している点にあります。

IT之家は、ブログ記事の紹介とともに、Googleの脅威情報チーム（GTIG）が発見した内容を以下のように伝えています。

• 2025年初頭にこのツールキットの痕跡が初めて発見され、その時点で標的型攻撃に使用されていた。
• 同年夏には、スパイ組織UNC6353がこのツールキットを利用して「水たまり攻撃」を仕掛け、侵害されたウェブサイトに隠されたiFrameを埋め込み、マルウェアを配布していた証拠がある。
• 2025年末には、UNC6691が大規模な作戦の中で同じツールキットを展開。攻撃者は金融や暗号通貨取引に関わる偽のウェブサイトを大量に構築し、ユーザーにiOSデバイスからアクセスさせ、脆弱性を突いて資産を窃取した。

技術的な構造面では、CorunaツールキットはJavaScriptフレームワークを用いてデバイスの指紋認証を行い、その後WebKitのリモートコード実行（RCE）脆弱性や指紋認証コード（PAC）の回避攻撃を仕掛ける。

攻撃チェーンの末端にあるペイロードは「PlasmaLoader」（GTIGによる追跡名はPLASMAGRID）と呼ばれ、システムプロセスに注入され、デバイス上の暗号通貨ウォレットアプリ（MetaMaskやTrust Walletなど）をスキャンし、ニーモニックフレーズや秘密鍵を窃取する。

データによると、利益目的の攻撃だけで約4万2千台のデバイスが侵害され、暗号通貨やプライバシーデータの窃取に利用されている。コードの解析から、このツールのコア部分は非常に高度に作成されており、単一の作者による開発と推測されている。

この脅威に対して、Googleはすべての関連ウェブサイトとドメインを「セキュアブラウジング」のブロックリストに追加した。GTIGは、Corunaツールキットは最新のiOSバージョンを突破できないと強調している。そのため、iPhoneユーザーは直ちにデバイスを最新のiOSにアップデートし、リスクを排除すべきである。