グーグルは「Coruna」と呼ばれるハッキングツールキットを発見した。同ツールは、iPhoneに密かに侵入し、MetaMask、Phantom、Trust Walletなど人気ウォレットアプリを標的として暗号資産を盗む。
この攻撃は被害者の操作を一切必要としない。パッチ未適用のiPhoneで改ざんサイトや偽サイトを閲覧するだけで感染する。
スポンサード
スポンサード
重要な理由:
- iOS 17.2.1以前のiPhoneは引き続き脆弱な状態。アップルは2024年1月リリースのiOS 17.3でようやく最終的な脆弱性を修正した。
- このツールキットは、ノートやメッセージ内の暗号資産のシードフレーズや「バックアップフレーズ」などのキーワードをスキャンする。これにより、攻撃者はパスワードなしでウォレットへ完全アクセスできる。
- ターゲットとなっている暗号資産アプリは18種類。MetaMask、Phantom、Exodus、Trust Wallet、Uniswapの利用者は直接盗難リスクに晒される。
詳細:
- GTIGは、WEEX暗号資産取引所を模倣したものを含む数百の偽金融・暗号資産取引所サイトから、ツールキット全体の回収に成功したとされる。
- ロシアの諜報活動グループと見られる組織が、2025年夏にウクライナのiPhone利用者を標的とし、地元ビジネスの感染サイトを通じて同じツールキットを使用した。
- その後、中国を拠点とする金銭目的のグループが詐欺サイト経由で大規模に拡散。これによりグーグルがキット全体を入手し「Coruna」と命名した。
- iPhoneの設定でロックダウンモードを有効化すれば、攻撃は完全に遮断できる。ツールキットが検知し、動作を停止する。
全体像:
- 同じツールキットが監視企業、国家支援のロシア組織、中国の金融犯罪者によって流用された。強力なハッキングツールのセカンダリーマーケットが拡大していることを示唆。
- Corunaのエクスプロイトのうち2つは、2023年にカスペルスキーが明らかにしたiOSのスパイ活動「オペレーション・トライアンギュレーション」でも使用されていた。高度なエクスプロイトが複数の脅威アクター間で使い回されている事例。
