✅この記事では、iPhoneを狙うエクスプロイトキット「Coruna」で何が起きたのか、旧iOSのまま使い続けるリスクと今できる対策をまとめます。

結論だけ先に言うと、「更新できるならiOS 26へ」「更新できないなら“危ないブラウジング”を避ける」の2本立てになります。

• 要点まとめ：旧iOSが“自動で選別される”攻撃になっていた
• 詳細解説：Corunaは「脆弱性の束」を売り物にした攻撃パック
  • ロックダウンモード、日常で使える？
• 注目したいポイント：攻撃が“国家級→犯罪市場”へ落ちてくる瞬間
• 海外の反応：注意喚起は一致、でも「現実の運用」で割れる
• ひとこと：旧iOSは「弱い」じゃなくて「選ばれる」
• まとめ：iOS 18へ上げられるかで、対策は分岐する

どうも、となりです。

iPhoneって、普段はあまり“防御してる感”がないじゃないですか。だからこそ、こういう話は刺さるんですよね。気づかないうちに、Webを見るだけで穴を抜かれて、最後はお金のところまで持っていかれる。

今回の「Coruna」はまさにそれで、対象が「iOS 13〜iOS 17.2.1」の範囲に広いのが嫌なところです。古い端末だけの話じゃなくて、OS更新が止まってしまったiPhoneも巻き込まれます。

要点まとめ：旧iOSが“自動で選別される”攻撃になっていた

今回の話は、単発の脆弱性というより「使い回せる攻撃パックが流通していた」というニュアンスが強いです。しかも、端末側の情報（機種・iOS）を見て“刺さる相手だけ”を狙う作りになっています。

まずは要点です。

• Googleの脅威分析グループ（GTIG）とiVerifyが、iPhoneを狙うエクスプロイトキット「Coruna」の詳細を公開。
• 対象はiOS 13〜iOS 17.2.1の範囲で、複数のエクスプロイトチェーンと多数の脆弱性を組み合わせる構成。
• 侵害されたWebサイトに隠しJavaScriptやiFrameを埋め込む「水坑攻撃（水飲み場型攻撃）」が使われる。
• 端末のモデルやOSバージョンを確認し、WebKitのリモートコード実行（RCE）などを足がかりに権限を引き上げ、マルウェアを入れる流れ。
• 最終ペイロードは「PlasmaLoader（別名：PLASMAGRID）」とされ、仮想通貨ウォレット（MetaMaskやTrust Walletなど）を狙い、助記詞（秘密の合言葉／シードフレーズ）や秘密鍵の窃取が目的とされる。
• ロックダウンモードが有効、またはプライベートブラウズ中だと攻撃を中止する挙動が報じられている。
• 脆弱性はiOS 26で修正済みとされ、Googleは関連ドメインをセーフブラウジングのブロックリストへ追加。

詳細解説：Corunaは「脆弱性の束」を売り物にした攻撃パック

GTIGとiVerifyが扱っているのは、単一の“ゼロデイ”というより、複数の脆弱性を組み合わせて成立する「エクスプロイトチェーン」です。ここがまずポイントで、1つ塞いだら終わり、という話になりにくいタイプです。

要は、鍵をいくつも順番にこじ開けて、最後に中へ入ってくる流れのことです。

入口は水坑攻撃で、侵害されたWebサイトに隠しJavaScriptやiFrameを仕込んでおいて、アクセスした端末側で処理が走る流れです。メールのリンクを踏む系よりも、「普通に見に行っただけ」になりやすいのが怖いところです。

読んでるだけでお腹いっぱいになりそうですが、こういうの、本当に執念深いですよね。

Corunaは、端末のモデルやiOSバージョンを確認してから動きます。つまり“誰でも彼でも”ではなく、成功率が高い相手にだけ弾を撃つ設計です。

報道ベースでは、WebKitのリモートコード実行（RCE）を起点にして、ポインタ認証コード（PAC）の回避などで権限を引き上げ、最終的にマルウェアのインストールへつなげます。

RCEはざっくり言うと、「Webを見ただけなのに、相手のコードを端末で動かされる」入り口です。

ロックダウンモード、日常で使える？

ロックダウンモードが有効だと攻撃が中止される、という挙動はかなり象徴的です。Appleが「最悪級の相手」を想定して用意したモードが、実際に“攻撃側が諦める理由”になる。

ただ、正直、ロックダウンモードを常時オンで暮らすのは、ぼくは無理でした。使えない機能が増えて、生活のほうが崩れちゃう。

たとえばメッセージの一部の添付ファイルや、Webまわりの表示がいつも通りじゃなくなって、地味に引っかかります。

なので現実的には、「普段は通常運用、怪しい導線を踏みそうなとき（海外の不明サイト、広告だらけのまとめ、DMで来たURLなど）だけ警戒レベルを上げる」みたいな割り切りが合う人が多いと思います。

ちなみに、プライベートブラウズ中も攻撃が中止されるケースがある、と報じられています。ここは少し意外で、プライベートブラウズ＝匿名化ではなく、「攻撃に必要な情報が取りにくい／攻撃側が条件を満たせない」可能性があります。ただし万能な盾として扱うのは危険で、基本はOS更新が先です。

もう1つ現実の話をすると、iOSの更新が止まった端末はゼロにはならないんですよね。家族のお下がり、業務端末、サブ機。そういう“取り残されるiPhone”が、攻撃パック側から見ると分かりやすいターゲットになりやすい、という構図です。

この流れは、iOS 26.4で入ったセキュリティ系の強化（RCSのE2EEや盗難端末保護の扱いも含めて）ともつながります。iOS 26.4のセキュリティアップグレード解説は、守りの方向性を掴むのにちょうどいいです。

注目したいポイント：攻撃が“国家級→犯罪市場”へ落ちてくる瞬間

気になるのは、Corunaの基盤が「米政府のハッキングツールと同じ土台にあるのでは」という推測が出ている点です。ここが事実として確定しているわけではないですが、もし本当に“由来が強いツール”が流出して再利用されているなら、被害が広がりやすいのは自然です。

そして攻撃側が「UNC6353」「UNC6691」といった複数の集団で運用され、時期によってキャンペーンが切り替わると報じられている。これも、個人が作ったマルウェアというより“商材”っぽさが出るところです。

iPhoneのセキュリティは強い、という話はよく聞きます。ただ、強さって「最新に保つ」前提で成立している部分がかなり大きい。今回みたいに、旧iOSの範囲が広く狙われると、その前提が崩れます。

工場の隔離運用（VendorUIのようなプレリリースOSを物理的に守る話）を聞くと、Appleが“運用で漏れ道を潰す”会社なのは伝わってきます。iPhone組立工場のUI専用室と隔離運用の話は、その温度感がわかりやすいです。

海外の反応：注意喚起は一致、でも「現実の運用」で割れる

反応はざっくり2つに割れています。1つ目は「更新しないと守れないよね」という素直な注意喚起。2つ目は「ロックダウンモードは強いけど、日常では厳しい」という運用面の引っかかりです。

「結局、更新してないのが一番危ない」
iPhoneは放っておいても安全、と思いがちだけど、こういう話を見ると“更新が止まった瞬間に別物”になる、という空気があります。

「国家レベルの道具が、普通の犯罪に降りてくるのが怖い」
“高度な攻撃＝一部の標的だけ”だったのが、エクスプロイトキット化すると話が変わる。怖さの種類が違う、という反応が目立ちます。

Lockdown modeが刺さったのは正直うれしい、という声もあります。

となりの見方：ロックダウンモードの勝利は大きいけど、勝ち方が「普段は使いにくい最終手段」なのが難しいところです。更新できるならiOS 26へ、更新できないなら“よく分からないサイトをiPhoneで踏まない”に寄せるかで、結論が変わります。

ひとこと：旧iOSは「弱い」じゃなくて「選ばれる」

今回の話で一番イヤなのは、旧iOSがただ弱いというより、攻撃側に「効率よく当てられる対象」として見えているところです。端末情報を見て、刺さる人だけに実行する。これって、被害の“見え方”も変わります。目立つ被害が出るまで表に出にくいし、本人はただWebを見ていただけ、で終わる。

だからこそ対策も、気合いじゃなくて条件で決めたいです。iOS 26へ上げられるならそれが最優先。上げられないなら、端末を「見に行く端末」から外すか、アクセスする場所をかなり絞る。やれることは少なくないけど、選択の順番を間違えると、どれも中途半端になります。

まとめ：iOS 18へ上げられるかで、対策は分岐する

Corunaは、Web閲覧を入口にして旧iOS端末を選別し、複数の脆弱性チェーンで侵入して、最終的に仮想通貨ウォレットを狙う――という筋の悪い攻撃パックとして報じられています。

結論はシンプルで、iOS 26へ更新できるなら今すぐ寄せる。更新が止まっているなら、iPhoneで踏む場所を絞るか、役割を変える。ロックダウンモードは強いけど、日常で常用できるかは人を選びます。

こういうニュースを読むたびに思うのは、セキュリティって“気をつける”じゃなくて、“状態を維持する”作業なんだな、ということです。

ではまた！

Source: 9to5Mac / IT之家 / Google Cloud Blog / iVerify / Reddit