AI時代の“安全なスマホ運用”　iPhoneを狙う攻撃から、個人と企業はどう身を守るか

ざっくりまとめ

ロシア政府系ハッカーがSignalとWhatsAppを標的にした大規模フィッシングキャンペーンを展開中。オランダ情報機関が2026年3月に警告を発した。
iPhoneを狙う軍事グレードのハッキングツール「Coruna」が西側同盟国の手を離れ、ロシア・中国のハッカーに流出していたことが判明。OSの最新化が最初の防衛線になる。
AIが脆弱性発見を加速させている現実（ClaudeがFirefoxで2週間・4,000ドルで22件発見）を踏まえ、個人と企業がいま取るべき具体的な設定を解説する。

SignalとWhatsAppで何が起きているか

「安全なアプリ」として知られるSignalが、アカウント乗っ取りに使われている。オランダの防衛情報保安局MIVDと総合情報保安局AIVDがTechCrunchへの情報提供で明らかにした手口は、技術的な脆弱性の悪用ではない。フィッシングとソーシャルエンジニアリング、つまり人間の判断を騙す攻撃だ。

Signalの手口はこうなる。ハッカーがサポートチームになりすまし、「不審なアクティビティを検知した」「個人データへのアクセス試行があった」という警告をSMSで送る。不安を感じた標的がPINコードとSMS検証コードを入力すると、攻撃者はそれを使って別の端末に被害者の番号を登録する。結果として、標的のアカウントはロックされ、攻撃者が連絡先にアクセスできる状態になる。

重要な点がある。Signalはアプリ内で直接サポートを提供しない。つまり「Signalサポートからのメッセージ」は100%フィッシングだ。

WhatsAppでは手口が異なる。「リンクされたデバイス（Linked devices）」機能を悪用する。悪意あるQRコードをスキャンさせるか、悪意あるリンクをクリックさせることで、攻撃者の端末を被害者のアカウントに接続する。Signalとの決定的な違いは、WhatsAppはこの方法で過去のメッセージも読まれる可能性がある点だ。ログアウトが発生しないため、被害者が攻撃に気づかないケースもある。

SignalとWhatsAppのアカウント乗っ取り手口

Signalはフィッシングによる番号登録、WhatsAppはリンク機能の悪用により乗っ取りが行われる。

iPhoneを狙う「軍事グレード」ツールの流出経路

フィッシングより深刻な脅威が、ゼロクリック型のiPhoneハッキングだ。TechCrunchの報道によれば、「Coruna」と呼ばれる23コンポーネント構成のハッキングツールキットが、ロシア政府系スパイグループUNC6353によるウクライナ人への攻撃と、中国のサイバー犯罪者による暗号資産窃取キャンペーンの両方に使われていた。

Corunaの出自が問題を複雑にする。元L3Harris従業員2名はTechCrunchに対し、このツールが同社のハッキング・監視技術部門「Trenchant」によって少なくとも部分的に開発されたと証言した。L3Harrisは米政府とFive Eyes同盟国（オーストラリア、カナダ、ニュージーランド、英国）のみに販売していたとされる。流出の経緯として、元Trenchant従業員のPeter Williams（39歳、オーストラリア国籍）が2022年から2025年半ばにかけて8つのハッキングツールをロシアのブローカーOperation Zeroに130万ドルで売却し、禁錮7年の判決を受けた。

CorunaはiOS 13からiOS 17.2.1、すなわち2019年9月から2023年12月リリースのiPhoneを標的に設計されていた。Googleの研究者は、Operation Triangulation（Kasperskyが2023年に最初に公表したキャンペーン）でCorunaのコンポーネント「Photon」と「Gallium」がゼロデイとして使われたと確認している。

「最新のiOSを使っていれば安全」は今でも基本的に正しい。iOS 17.2.1以降にアップデートしていれば、Corunaの既知の攻撃手法は効かない。ただし、西側の軍事請負企業が開発したツールがロシア・中国の手に渡ったという事実は、次世代のゼロデイがどこから来るか予測できないことを示している。

AIが脆弱性発見を「民主化」するとどうなるか

攻撃側のコストが下がっている。AnthropicとMozillaの共同セキュリティプロジェクトで、Claude Opus 4.6が2週間・APIクレジット4,000ドルでFirefoxに22件の脆弱性を発見した。うち14件は深刻度「高」に分類され、多くはFirefox 148（2026年2月リリース）で修正された。実際の攻撃コードの作成にも2件成功している。

この数字が示す意味は二重だ。善意の研究者がAIで効率的に脆弱性を発見し、修正を早められる。同時に、悪意ある攻撃者も同じツールで同じことができる。4,000ドルという金額は、国家だけでなく個人や小規模な犯罪グループでも調達できる水準だ。

ブラウザの脆弱性がスマートフォンの運用と無関係に見えるかもしれない。しかし、モバイルのSafariやChromeも同種のJavaScriptエンジンを持ち、フィッシングリンクを踏んだ瞬間にブラウザ経由の攻撃が走る。Signal・WhatsAppのフィッシングで「悪意あるリンクをクリックさせる」手口が使われるのは、まさにこの理由だ。

Anthropic×Mozilla共同プロジェクト：AIによる脆弱性発見の成果

Claude Opus 4.6を使用し、Firefoxの脆弱性を短期間・低コストで発見した事例。

個人と企業が今週できる具体的な設定

Signal・WhatsAppの設定を今すぐ確認する

まずSignalの「登録ロック（Registration Lock）」を有効にする。これを設定すると、誰かが同じ電話番号で新しい端末にSignalを登録しようとしたとき、PINが必要になる。PINを知らない攻撃者はアカウントを乗っ取れない。設定 → アカウント → 登録ロック、の順で操作できる。

WhatsAppは設定 → リンクされたデバイスを開き、見覚えのない端末が登録されていないか確認する。不審な端末があればその場でログアウトできる。6桁の確認コードは、「公式サポート」を名乗る相手であっても絶対に共有しない。WhatsAppのスポークスマンZade Alsawahも同様に推奨している。

iOSは最新版に保ち、古い端末の扱いを決める

CorunaはiOS 17.2.1以前を標的にしていた。現在iOS 18以降を使っていれば既知の攻撃経路は閉じている。問題は、業務用に古いiPhoneを使い続けている場合だ。iOS 16以前しかサポートされない端末は、業務用途から外すか、機密情報を扱わない用途に限定する判断が必要になる。

企業はMDMとポリシーで人的ミスを補う

オランダ情報機関が標的として挙げたのは「政府・軍関係者やジャーナリスト」だが、取引先や顧客情報を持つ日本の民間企業の担当者も同様のリスクにさらされている。MDM（モバイルデバイス管理）でOSバージョンの最低ラインを強制し、Linked devicesの使用を制限するポリシーを設けることが、個人の判断力に頼らない防衛になる。

まとめ

今回の一連の報道が示すのは、「安全なアプリ」も「高品質なOS」も、運用設定と人間の判断が伴わなければ機能しないという事実だ。Signal登録ロックの有効化、WhatsAppのリンクデバイス確認、iOSの最新化——この3点は今日中に終わる作業だ。企業担当者であれば、MDMポリシーの見直しとOSバージョン要件の明文化を優先タスクに加えてほしい。次に注目すべきは「Operation Triangulation」の続報と、iOS 18以降を標的にした新たなゼロデイの報告だ。