グーグルのセキュリティ研究チーム「Google Threat Intelligence Group(GTIG)」は3日、iPhoneを狙う不正プログラム「Coruna(コルナ)」を発見したと公式ブログで発表した。偽の暗号資産(仮想通貨)取引所サイトを閲覧するだけで感染し、ウォレット内の資産やシードフレーズを自動で盗み出す。
iPhoneでサイトを開くだけで感染する仕組み
コルナの最大の特徴は、ユーザーが何も操作しなくても感染が完了する点だ。偽サイトにアクセスすると、裏側でiPhoneの機種とiOSバージョンを自動判定し、その端末に最適な攻撃を即座に実行する。対応範囲はiOS 13〜17.2.1(2019年〜2023年リリース)と広く、23種類の脆弱性が組み合わされている。
感染後のプログラムは資産の窃取だけにとどまらない。Appleのメモアプリを自動スキャンし、ウォレット復元に使う12〜24個の英単語(シードフレーズ)や「backup phrase」「bank account」といったキーワードを検出した場合、その内容を攻撃者のサーバーへ自動送信する仕組みである。シードフレーズを取得された場合、ウォレット内の全資産を奪われるリスクがある。
狙われる暗号資産アプリ18種
グーグルのレポートで標的として特定された暗号資産ウォレットアプリは以下の18種だ。
| MetaMask(メタマスク) | Phantom(ファントム) | Trust Wallet(トラストウォレット) |
| Uniswap(ユニスワップ) | Exodus(エクソダス) | Solflare(ソルフレア) |
| Tonkeeper(トンキーパー) | TonHub(トンハブ) | MyTonWallet(マイトンウォレット) |
| BitKeep(ビットキープ) | BitPie(ビットパイ) | Coin98(コイン98) |
| Coinbase Wallet(コインベースウォレット) | Krystal(クリスタル) | imToken(アイエムトークン) |
| Ronin Wallet(ロニンウォレット) | TronLink(トロンリンク) | Global Wallet(グローバルウォレット) |
日本でも利用者が多いメタマスクやファントムウォレットが含まれており、国内ユーザーへの影響が懸念される。メタマスクの使い方・セキュリティ設定については、ジナコインの解説記事も参照してほしい。
スパイツールが3段階で犯罪者に流出
コルナはもともと商業スパイウェア企業の顧客が諜報目的で使用していたツールだ。その後、ロシアの諜報グループ(UNC6353)がウクライナのユーザーを狙う攻撃に流用。さらに中国を拠点とする詐欺グループ(UNC6691)が偽の暗号資産取引所サイトに組み込み、大規模な資産窃取に悪用したとグーグルは分析している。
なお、コルナの感染拡大に使われたドメインを自動生成する仕組みには「lazarus(ラザルス)」という文字列が使われていることも判明している。北朝鮮系ハッカー集団「ラザルスグループ」との関連を示唆する可能性があるが、グーグルは現時点で明言していない。
関連:北朝鮮ハッカーの仮想通貨盗難額が過去最悪の3,143億円──巧妙化する手口
今すぐできる対策
グーグルは対策として以下の2点を推奨している。
- iOSを最新バージョンへ更新する(コルナはiOS 17.3以降では無効)
- 更新できない古い端末は設定から「ロックダウンモード」を有効化する
また、グーグルはコルナが使用していた全ウェブサイトとドメインをSafe Browsingに登録済みであるとしており、Chromeブラウザ経由での接続は警告が表示される見込みだ。
![MANTRA [Old]](https://coin-images.coingecko.com/coins/images/12151/large/OM_Token.png?1696511991)
