iPhone向け暗号資産ウォレットに新たなiOS悪用ツール発覚

グーグルは「Coruna」と呼ばれるハッキングツールキットを発見した。同ツールは、iPhoneに密かに侵入し、MetaMask、Phantom、Trust Walletなど人気ウォレットアプリを標的として暗号資産を盗む。

この攻撃は被害者の操作を一切必要としない。パッチ未適用のiPhoneで改ざんサイトや偽サイトを閲覧するだけで感染する。

重要な理由：

• iOS 17.2.1以前のiPhoneは引き続き脆弱な状態。アップルは2024年1月リリースのiOS 17.3でようやく最終的な脆弱性を修正した。
• このツールキットは、ノートやメッセージ内の暗号資産のシードフレーズや「バックアップフレーズ」などのキーワードをスキャンする。これにより、攻撃者はパスワードなしでウォレットへ完全アクセスできる。
• ターゲットとなっている暗号資産アプリは18種類。MetaMask、Phantom、Exodus、Trust Wallet、Uniswapの利用者は直接盗難リスクに晒される。

詳細：

• GTIGは、WEEX暗号資産取引所を模倣したものを含む数百の偽金融・暗号資産取引所サイトから、ツールキット全体の回収に成功したとされる。
• ロシアの諜報活動グループと見られる組織が、2025年夏にウクライナのiPhone利用者を標的とし、地元ビジネスの感染サイトを通じて同じツールキットを使用した。
• その後、中国を拠点とする金銭目的のグループが詐欺サイト経由で大規模に拡散。これによりグーグルがキット全体を入手し「Coruna」と命名した。
• iPhoneの設定でロックダウンモードを有効化すれば、攻撃は完全に遮断できる。ツールキットが検知し、動作を停止する。

全体像：

• 同じツールキットが監視企業、国家支援のロシア組織、中国の金融犯罪者によって流用された。強力なハッキングツールのセカンダリーマーケットが拡大していることを示唆。
• Corunaのエクスプロイトのうち2つは、2023年にカスペルスキーが明らかにしたiOSのスパイ活動「オペレーション・トライアンギュレーション」でも使用されていた。高度なエクスプロイトが複数の脅威アクター間で使い回されている事例。