✅この記事では、Macを狙う偽CAPTCHA「ClickFix」と、iPhone向けハッキングツール「Coruna」の流出が何を意味するのか、いま自分が気をつけるべき線引きまで分かります。

片方はだましてTerminalを触らせる攻撃、もう片方は政府級ツールの流出です。結局どっちが身近なのかと迷いやすい話ですが、守る側とだます側のいたちごっこが、ついに僕らの操作画面まで降りてきたと見ると、この2本はかなり同じ方向を向いています。

• 要点まとめ：Appleの防御を“外から”ではなく“内側から”崩す話です
• ClickFixがMacで厄介なのは、脆弱性ではなく「手順」に見せるところ
• AMOSまで落ちると、被害は「変なアプリが入った」で済みません
• Corunaは「古いiPhoneは危ない」で終わらない話です
• Trenchantとの結び付きは濃いですが、公式確認までは届いていません
• 注目したいポイント：Appleの壁が薄くなったのではなく、攻撃の入口が変わっています
• 海外の反応：拒絶と提案が同じ場所に並んでいます
• ひとこと：Terminalは「詳しい人の道具」だからこそ危ないです
• まとめ：いま見るべきなのは「更新」と「実行」の2か所です

どうも、となりです。

今回の2本、正直かなり後味が悪いです。というのも、ひとつは脆弱性そのものを突く話で、もうひとつは人の判断をそのまま踏み台にする話だからです。しかも後者は、Macの中身を壊すというより、自分で扉を開けさせる形なんですよね。

Appleは普段、App Store審査やGatekeeper、XProtectのような保護機構でかなり堅く守っています。ただ、今回のClickFixはそこを真正面から破るというより、「本人が実行した」形に持ち込むのが厄介です。更新していれば全部片づく話でもないし、操作だけ気をつければ終わる話でもありません。この近さがちょっと嫌なんですよね。

要点まとめ：Appleの防御を“外から”ではなく“内側から”崩す話です

先に全体像だけ置いておくと、今回の話はMacとiPhoneで別々の脅威が出てきた、というだけではありません。OSの穴を突く攻撃と、人の操作を誘導する攻撃が同時に目立ってきた、という流れとして見ると分かりやすいです。

• ClickFixは偽の人間認証画面を見せ、MacでTerminalを開かせてコマンドを貼り付けさせる手口です。
• その結果、リモートサーバーからAtomic macOS Stealer（AMOS）のような情報窃取型マルウェアが落とされ、認証情報やクッキー、暗号資産ウォレット情報が狙われます。
• ClickFixは2025年前半のESETテレメトリ（検出データ）で、2024年後半比500％超の増加が確認されています。
• Mac向け亜種ではOSを見分けたうえで、Command + SpaceでSpotlightを開き、Terminalを起動するよう案内する例が報告されています。
• CorunaはiOS 13.0からiOS 17.2.1までを狙うiPhone向けエクスプロイトキット、つまり攻撃用の道具箱のようなもので、5本の攻撃チェーンと23個のエクスプロイトを含みます。
• GoogleとiVerifyは、Corunaが米軍請負業者L3HarrisのTrenchant部門に結びつく可能性を示していますが、L3Harrisの公式コメントは出ていません。

ClickFixがMacで厄介なのは、脆弱性ではなく「手順」に見せるところ

AppleInsiderが取り上げたClickFixは、見た目だけならよくある認証画面に近いです。ですが中身はかなり悪質で、「あなたが人間ならこの操作をしてください」と見せかけながら、実際にはTerminalでコマンドを走らせるところまで誘導します。

この方式では、侵害されたウェブサイトや悪質な広告、フィッシング経由で偽画面に流し込み、JavaScriptでクリップボードへ文字列を自動コピーさせる例まで確認されています。動画やカウントダウンを使って、急がせる演出が入るのも特徴です。

ここで引っかかるのは、macOSの保護機能が弱いという話ではないことです。GatekeeperやXProtectは勝手に入ってくるものには強い一方で、本人がTerminalへ貼り付けて実行したコマンドまでは止めにくいです。正直、Terminalを触らせる時点でかなり危ないです。守る対象が「侵入」中心で、「説得されての実行」までは拾いにくいからです。

Mac向けの偽誘導が気になるなら, Google広告を使った偽Appleサポート誘導の仕組みも同じ線で見ておくと流れがつかみやすいです。

AMOSまで落ちると、被害は「変なアプリが入った」で済みません

ClickFixの先で使われる代表例として挙がっているのがAtomic macOS Stealer（AMOS）です。これは見た目を荒らすタイプではなく、パスワード、ブラウザの認証情報、クッキー、暗号資産ウォレット関連の情報を抜いていく情報窃取型マルウェアです。

つまり怖いのは、Macそのものが壊れることより、あとから別の被害に広がることです。セッションCookieを持っていかれると、パスワード変更だけでは足りない場面もありますし、ウォレット拡張や保存済み認証情報まで触られると、被害の後始末がかなり重くなります。

最近は本物そっくりの画面や導線で信じ込ませるパターンが増えています。見た目だけで安心しない、という前提は、iPhone向けの偽機能動画を見抜く話ともつながっています。

Corunaは「古いiPhoneは危ない」で終わらない話です

一方のCorunaは、かなり性質が違います。Google Threat Intelligence Groupによると、CorunaはiOS 13.0からiOS 17.2.1までのiPhoneを狙うエクスプロイトキットで、5本の攻撃チェーンと23個のエクスプロイトを含んでいました。

しかもこれは、単なる研究用コードではありません。TechCrunchによると、Googleは2025年に政府顧客向けスパイウェア運用の中でこのツールを確認し、その後はロシアの工作員によるウクライナ人への攻撃、さらに中国の金銭目的の攻撃でも同じキットを確認しています。

Corunaの前提をもう少し知っておきたいなら、iOS 13〜17を狙うCorunaの概要を先に見ておくと入りやすいです。

Trenchantとの結び付きは濃いですが、公式確認までは届いていません

iVerifyやGoogleは、CorunaがL3Harrisのハッキング部門Trenchantとつながる可能性を強く示しています。GoogleはCorunaのコンポーネントであるPhotonとGalliumが、2023年にKasperskyが見つけたOperation Triangulationで使われたエクスプロイトと同一だとしています。

さらにTechCrunchは、Trenchantの元ゼネラルマネージャーだったPeter Williams氏が、8つのツールをロシアのブローカーOperation Zeroへ130万ドルで売却し、2026年2月に7年の禁錮判決を受けたと報じています。

ただし、ここで線を越えてはいけない部分もあります。Williams氏の売却と判決は事実ですが、それだけでL3HarrisやTrenchantが組織ぐるみでCoruna流出に関わったとまでは言えません。L3Harrisは本件についてコメントしておらず、Apple、Google、Operation Zeroもコメント要請に応じていません。ポイントは、Corunaの開発元をL3Harris製と断定できる状態ではまだないことです。

注目したいポイント：Appleの壁が薄くなったのではなく、攻撃の入口が変わっています

この2本を並べて見たとき、ぼくがいちばん気になるのはここです。Apple製品の安全性そのものが突然崩れた、というより、攻撃側がいちばん入りやすい入口へ寄ってきた感じが強いです。

Corunaのようなケースでは、古いiOSを抱えた端末が狙われます。逆にClickFixでは、OSの深い穴よりも、焦りや安心感を使って操作を引き出すほうが早い。攻撃の重心が、脆弱性だけではなくUIと心理誘導のほうにもかなり寄っているわけです。

だから対策も、アップデートだけでは半分です。MacではブラウザからTerminal操作を求められた時点で閉じる、iPhoneでは古いiOSを長く残さない。この2つは別の心得に見えますが、実際には同じ地続きです。だます側がOSの外と中を行き来しながら、僕らの操作画面まで降りてきたと見るほうがしっくりきます。

海外の反応：拒絶と提案が同じ場所に並んでいます

ひとつは「Terminalを触らせる時点で論外」という反応です。もうひとつは「Apple側で貼り付け自体を止められないのか」という提案です。怒りと諦めではなく、どう塞ぐかの方向へ話が寄っているのが印象に残りました。

BlockBlockを入れておく案
Objective-SeeのBlockBlockを入れておくのもあり、という声が出ていました。持続化の検知に寄った発想です。

Terminalを求める時点でスルー
CAPTCHA自体が嫌いだし、ましてTerminalを使わせるものは即閉じる、というかなり強い拒絶もありました。

Safariからの貼り付け制御を望む声
Safariでコピーされた怪しい文字列をTerminalが受け付けにくくできれば、という提案も出ています。Apple側の保護余地を感じている人が多いようです。

となりの見方：評価が割れているというより、違う層が別の場所を見ている感じです。普段から慎重な人は「そんな指示は無視する」で終わりますが、急いでいる場面や仕事中の検証作業に似た見た目だと、ふっと踏みやすくなることもあります。だからUI側の保護が欲しい、という声が自然に出てくるんだと思います。

ひとこと：Terminalは「詳しい人の道具」だからこそ危ないです

Terminalって、Macに慣れている人ほど抵抗が薄いんですよね。普段からHomebrewやログ確認で触る人ほど、貼り付けそのものに違和感を持ちにくいです。そこを突いてくるのが今回の嫌なところです。逆に、普段まったく触らない人なら止まれる場面でも、少し知っている人のほうが流れで進みやすい。ここはけっこう皮肉です。

Corunaのほうも同じで、政府級ツールだから一般利用には遠い、と切り離してしまうと少し危ないです。流出した瞬間に、話は国家レベルから一気に民間の犯罪へ落ちてきます。安全の強さは、作った側の格ではなく、漏れたあとにどこまで広がるかでも決まるんだなと感じます。

まとめ：いま見るべきなのは「更新」と「実行」の2か所です

今回のMac側は、偽CAPTCHAでTerminal操作を引き出し、AMOSのような情報窃取型マルウェアにつなげる流れでした。iPhone側は、Corunaのような強力なツールが流出し、古いiOSを狙う現実が見えてきました。

もしMacでブラウザや認証画面からTerminal操作を求められたら、その時点で閉じるのが無難です。一方でiPhoneを長く使い続けるなら、更新を後回しにしすぎないほうがいいです。どちらで困るかは使い方で変わりますが、Appleの守りが弱いというより、攻撃の入口がこちらの行動に寄ってきた。今回はそこをはっきり示した2本だったと思います。

ではまた！

Source: AppleInsider, TechCrunch