AIBIZ
規制・社会

国家級ハッキングツール流出が示す新たな企業リスク

#セキュリティ#iPhone#ゼロデイ#BCP#端末管理#インシデント対応
記事バナー画像

POINT

  • 2026年3月、米軍請負企業が開発したとみられるiPhoneハッキングツール「Coruna」が政府機関から流出し、ロシアのスパイ組織、さらに中国の犯罪者へと転売・再利用された。
  • 同時期のイランへの空爆では、軍事攻撃・サイバー攻撃・通信遮断が同時展開された。地政学的な有事が即デジタルインフラの崩壊に直結する事態が現実になった。
  • 国家レベルの攻撃ツールが民間企業や個人に降りかかる経路と、端末・BCP管理の見直しポイントを整理する。

国家の武器がサイバー犯罪市場に流通する構造

2017年、NSAが開発したWindowsバックドア「EternalBlue」が盗まれた。翌年、そのコードは北朝鮮が仕掛けたWannaCryランサムウェアとして世界中のPCを暗号化した。政府製の攻撃ツールが民間に被害を与えるパターンは、すでに前例がある。

今回の「Coruna」は、その構造をさらに加速させている。TechCrunchの報道によれば、CorunaはL3Harrisのハッキング部門Trenchantが開発した可能性が高い。Five Eyes同盟国への独占販売を前提とした政府向けツールが、なぜ犯罪者の手に渡ったのか。

答えは内部犯行だ。Trenchantの元ゼネラルマネージャーPeter Williamsが2022年から2025年半ばにかけて、ハッキングツール8本をロシア企業「Operation Zero」に売却した。売却額は130万ドル。Williamsは7年の懲役刑を受け、米財務省はOperation Zeroを制裁した。だが、ツール自体はすでに流通している。

流出したCorunaは23の脆弱性を連鎖させ、5通りの経路でiPhoneに侵入できる設計だ。最初はロシアの情報機関系グループUNC6353がウクライナの少数のターゲットに使い、次に中国の金銭目的のハッカーが大規模キャンペーンに転用した。Googleのセキュリティ研究者はこれを「中古エクスプロイト市場の出現」と表現している。

国家製ハッキングツール「Coruna」の流通経路
制御された利用 無秩序な拡散 政府機関 L3Harris / Trenchant ・Five Eyes向け  独占販売 内部犯行 元GM P. Williams ・Operation Zeroへ  売却 (130万ドル) ・2022〜2025年 国家スパイ UNC6353 (ロシア系) ・ウクライナの  少数ターゲット  に使用 サイバー犯罪者 中国の金銭目的 ハッカー ・暗号資産・金銭  窃取目的で  大規模転用 ハッキングツール「Coruna」の仕様 対象端末: iOS 13 〜 17.2.1 の iPhone 攻撃手法: 23の脆弱性を連鎖 / 5通りの侵入経路 制御された利用 無秩序な拡散 政府機関 L3Harris / Trenchant ・Five Eyes向け独占販売 内部犯行 元GM P. Williams ・Operation Zeroへ売却 (130万ドル) ・2022〜2025年 国家スパイ UNC6353 (ロシア系) ・ウクライナの少数ターゲットに使用 サイバー犯罪者 中国の金銭目的ハッカー ・暗号資産・金銭窃取目的で大規模転用 ハッキングツール「Coruna」の仕様 対象: iOS 13 〜 17.2.1 の iPhone 攻撃: 23の脆弱性を連鎖 / 5通りの侵入経路
政府向けに開発されたツールが内部犯行によって流出し、最終的にサイバー犯罪者の大規模キャンペーンに転用された。

イランで何が起きたか——「同時多層攻撃」の現実

TechCrunchの報道によると、2026年3月2日の早朝、米国とイスラエルによる空爆がテヘランを含むイラン全土を標的にした。最高指導者ハメネイ氏と最高幹部が死亡した。

物理的攻撃と並行して、イランのインターネット接続はほぼゼロまで落ちた。Cloudflareがこれを確認し、Kentikのインターネット分析ディレクターDoug MadoryはBlueskyへの投稿で「空爆開始直後に接続が崩壊した」と述べている。Jerusalem Postは、サイバー攻撃がイラン側の対応能力を制限する目的で組み込まれていたと報じた。

さらに地上では奇妙な事象が起きた。500万件以上ダウンロードされている祈りのアプリ「BadeSaba」が乗っ取られ、ユーザーに「清算の時が来た」「政府部隊に立ち向かう者に恩赦を与える」という通知が送られた。アプリを通じた心理戦だ。実行主体は現時点で不明のままである。

この日の攻撃は「爆撃・通信遮断・端末乗っ取り・心理工作」が四層同時に展開された。AmazonはUAEの中東データセンターでイランのミサイル着弾直後に障害が発生したと報告しており、物理インフラとデジタルインフラの境界がすでに消えていることを示している。

2026年3月2日 イラン「同時多層攻撃」タイムライン
事前背景 物理攻撃 通信攻撃 端末・アプリ攻撃 インフラ攻撃 2026年 3月2日 同時多層攻撃 数週間前 大規模抗議活動・イラン史上最長のネット遮断・数千人死亡 数日前 米イラン交渉決裂 早朝 米・イスラエルによる空爆開始(最高指導者ら死亡) 空爆直後 イランのインターネット接続がほぼゼロに低下(Cloudflare等確認) 同日 祈りアプリ「BadeSaba」乗っ取り・反政府通知送信(500万DL超) 同日 イランミサイルUAE着弾・Amazonデータセンター障害発生 事前背景 物理攻撃 通信攻撃 端末・アプリ攻撃 インフラ攻撃 2026年3月2日 同時多層攻撃 数週間前 大規模抗議活動・ネット遮断・数千人死亡 数日前 米イラン交渉決裂 早朝 米・イスラエル空爆開始(最高指導者ら死亡) 空爆直後 ネット接続ほぼゼロに低下(Cloudflare確認) 同日 祈りアプリ乗っ取り・反政府通知(500万DL) 同日 イランミサイルUAE着弾・Amazon DC障害
各攻撃レイヤーが同時進行し、物理・デジタル両面でインフラに影響を与えた

「iOS最新版なら安全」は通用するか

Corunaが対象とするのはiOS 13からiOS 17.2.1、つまり2023年12月以前のバージョンだ。iOS 17.3以降にアップデートしていれば直接の対象外になる。それだけ聞けば「アップデートすれば終わり」に聞こえる。

しかし問題の本質は別にある。今回のCorunaは、2023年にKasperskyが初めて公開したOperation Triangulationで使われたコンポーネントを含んでいた。Googleの研究者は、PhotonとGalliumという二つのエクスプロイトがゼロデイ(ベンダーが未認識のため対策が存在しない脆弱性)として転用されていたことを確認している。政府機関が「秘密の武器」として抱えているゼロデイは、流出した瞬間にパッチなしで世界中の端末を攻撃できる。

攻撃の入口は「悪意のあるリンクを踏む」だけだ。メール、SMS、メッセージアプリ経由で送られたリンクを開くだけで、iPhoneの防御を回避される。特別な操作は何も要らない。

「secondhand(中古)エクスプロイト」の市場が出現しており、金銭目的のハッカーに販売されて価値が引き出されている——Googleのセキュリティ研究者

国家が研究開発した攻撃コードが、流出後に「値引き販売」されて犯罪市場に出回る。企業のセキュリティ担当者が想定すべき脅威の水準が、国家レベルの技術にまで引き上がったということだ。

企業の危機管理に何が足りないか

挿絵

今回の一連の事案が日本企業に突きつけるのは、三つの問いだ。

端末管理は「最新版維持」で終わっていないか

Corunaの被害範囲はiOS 17.2.1以前。裏返せば、社員の業務スマートフォンが一世代古いだけで攻撃対象になる。MDM(モバイルデバイス管理)ツールで全端末のOSバージョンを可視化し、未更新端末を即座に隔離するポリシーが必要だ。「自分のスマホは自分で管理」という企業文化は、今のリスク水準に合っていない。

BCPはインターネット遮断を想定しているか

イランでは空爆と同時にインターネット接続がゼロになった。日本企業の多くはクラウドサービスやSaaSを業務の中核に置いている。海底ケーブルへの物理攻撃、データセンターへの着弾、国家レベルのルーティング操作——これらはもはやSFではない。Amazonが報告したUAEデータセンターの障害は実際に起きた。オフライン業務フロー、代替通信手段、ローカルバックアップの三点を見直す時期にある。

「攻撃を受けた後」の対応フローは機能するか

BadeSabaの乗っ取りでは、500万人以上のユーザーがデバイス上で偽通知を受け取った。企業が提供するアプリやサービスが乗っ取られた場合、ユーザーへの通知からサービス停止の判断まで、誰が何時間以内に何をするかが決まっているか。インシデント対応計画は「攻撃を受けた想定」で年1回は訓練しなければ、計画として機能しない。

まとめ

国家が開発した攻撃ツールは流出し、犯罪者が使い、一般企業の社員のiPhoneを狙う。地政学的な有事はインターネット遮断とデータセンター障害を同時に引き起こす。この二つが同時進行する現実になった以上、セキュリティ対策をIT部門だけの問題として切り離すことはできない。

まず今週、社内端末のOSバージョン一覧を取得してほしい。そこに現れる数字が、自社のリスク水準を正直に教えてくれる。

参照元