2026年3月3日、Google脅威インテリジェンスが公開した「Coruna」の技術報告書は、商用ゼロデイ産業が抱える構造的欠陥を白日の下に晒した。Corunaは、iOS 13.0〜17.2.1を標的とする23の脆弱性を5つのエクスプロイトチェーンに組み上げた大規模攻撃基盤であり、その出自は米国の軍事請負業者L3Harris Technologies傘下のTrenchant部門にある。本記事では、国際政治の視点から、民主主義国が構築した監視ツールがロシアの諜報活動、そして中国の金銭目的サイバー犯罪へと拡散した経路を分析し、商用ゼロデイの産業構造が孕む地政学的リスクを論じる。

Corunaの衝撃は、単なるiOSエクスプロイトキットの発見にとどまらない。米国防産業の知的財産がロシアのエクスプロイトブローカーを経由してウクライナ攻撃に転用され、さらに中国の犯罪組織が金銭目的で無差別に展開するという「監視→スパイ→犯罪」の三段階拡散モデルは、既存の輸出管理体制の根本的な破綻を意味する。CVE-2026-26144のようなゼロクリック攻撃が示すAIエージェント時代の脅威と並び、Corunaは「兵器化された脆弱性」の拡散がもはや国家の統制を超えた現実を突きつけている。

Coruna Exploit Kitの技術構造 ── 23脆弱性・5チェーンの攻撃アーキテクチャ

Corunaの技術仕様は、商用監視ツールとしては異例の規模と精緻さを備えている。Google脅威インテリジェンスの分析によれば、同キットは23の脆弱性を活用し、iOS 13.0からiOS 17.2.1までの約4年分のiOSバージョンを網羅する5つの完全なエクスプロイトチェーンで構成される。各チェーンはWebKitの初期侵入(RCE)からカーネル権限昇格までを一気通貫で実行し、標的デバイスの完全な遠隔操作を実現する。

主要なCVEには、WebKit RCEのCVE-2024-23222(2024年1月22日パッチ)、カーネルエクスプロイトのCVE-2023-32434およびCVE-2023-38606が含まれる。後者の2件は、Kaspersky社が2023年6月に発見した「Operation Triangulation」キャンペーンで使用されていたものと同一であり、CorunaがTriangulationの技術資産を直接継承・発展させたことを示している。さらにCVE-2023-43000、CVE-2023-43010(WebKit)、CVE-2023-41974(カーネル)、CVE-2022-48503(WebKit RCE)、CVE-2021-30952といった脆弱性が組み込まれ、CISA(米サイバーセキュリティ・インフラセキュリティ庁)は2026年3月5日、CVE-2021-30952、CVE-2023-41974、CVE-2023-43000をKnown Exploited Vulnerabilities(KEV)カタログに追加した。

注目すべきは、Corunaに組み込まれた回避ロジックである。AppleのLockdown Modeが有効なデバイスや、Safariのプライベートブラウジングモード使用時にはエクスプロイトの実行を自動停止する。これはAppleのセキュリティ対策を熟知した上での設計判断であり、検知回避とオペレーショナルセキュリティ(OPSEC)を両立する商用グレードの洗練さを物語る。筆者自身、脆弱性診断やペネトレーションテストの実務を通じて痛感してきたが、プロトコルやHTTPヘッダ一つの設定ミスが致命的な脆弱性になり得るという原則は、Corunaのような国家級ツールにおいても同様に貫かれている。攻撃者は防御側のあらゆる設定を前提に設計を行っているのである。

A17およびM3チップへの最適化も確認されており、2023年以降のApple最新ハードウェアに対応した「アクティブメンテナンス」が行われていたことを示唆する。これは単発のエクスプロイト開発ではなく、継続的なR&D投資を伴う「製品」としての性格を裏付けるものである。

L3Harris Trenchant ── 米国防産業の暗部と商用監視ビジネス

Corunaの製造元であるL3Harris Trenchantの成り立ちは、商用監視産業の構造を理解する鍵である。2019年、L3 Technologies(現L3Harris Technologies)はオーストラリアのサイバーセキュリティ企業2社──Azimuth SecurityとLinchpin Labs──を約2億ドルで買収し、統合してTrenchant部門を設立した。Azimuth SecurityはiOS・Androidのゼロデイ開発で知られ、FBIにTorブラウザのエクスプロイトを提供していたとも報じられる。Linchpin Labsは元諜報機関員が運営し、政府クライアントにゼロデイ脆弱性へのアクセスを提供していた。

Trenchantのビジネスモデルは、米国政府およびFive Eyes同盟国(英国、カナダ、オーストラリア、ニュージーランド)に「政府専用」のエクスプロイトツールを販売するものである。ISR(情報・監視・偵察)ミッション向けの機密ツール開発を中核事業とし、個々のゼロデイエクスプロイトの価値は数千万ドルに達する。Peter Williams自身が検察に対し、盗み出したエクスプロイトの中には1件あたり最大3,500万ドルの価値を持つものがあったと供述している。

ここに商用監視産業の根本的な矛盾がある。民主主義国の政府機関が「正当な法執行・諜報活動」のために開発・調達するツールは、その設計上、人権侵害にも容易に転用可能である。NSO GroupのPegasus、Intellexa(現Cytrox)のPredatorに続き、Trenchantの事例は「政府専用」の建前が内部脅威によって一夜にして崩壊し得ることを実証した。

地政学的に重要なのは、L3Harris Technologiesが米国防総省の主要請負業者であり、その技術流出が直接的に米国の国家安全保障を毀損した点である。商用監視ツールの開発は、通常の兵器開発と同等かそれ以上に厳格な管理が求められるべきだが、現実には人事・アクセス管理の脆弱性が放置されていた。

Peter Williamsの裏切り ── インサイダー脅威がもたらした地政学的衝撃

Corunaの拡散経路を理解する上で、Peter Williamsの犯行は決定的な転換点である。39歳のオーストラリア国籍であるWilliamsは、L3Harris Trenchantのゼネラルマネージャー(事実上の責任者)を務めていた。2022年から2025年にかけての3年間、Williamsは8件の独自ゼロデイエクスプロイトおよびエクスプロイトコンポーネントを組織的に窃取・外部流出させた。

売却先はロシアのエクスプロイトブローカー「Operation Zero」(正式名称: Matrix LLC)であり、代表者はSergey Sergeyevich Zelenyukである。Operation Zeroは2021年に設立され、iOSゼロデイに最大2,000万ドル、Telegramの脆弱性に最大400万ドルの買い取り価格を公開するという、異例の「公開市場」モデルで運営されていた。Williamsが受け取った対価は暗号通貨で約130万〜400万ドルとされ、ツールの推定価値(数億ドル規模)と比較すれば著しく低い。これは内部脅威における典型的なパターンであり、金銭的動機と組織への不満が結合した事例と考えられる。

2025年10月29日、Williamsはワシントン D.C. の連邦裁判所で企業秘密窃盗2件について有罪答弁を行い、2026年2月24日に87ヶ月(7年以上)の禁錮刑を宣告された。同日、米国財務省(OFAC)と国務省はOperation Zero、Sergey Zelenyuk、および関連5個人・団体に対し、制裁を発動した。この制裁は「保護対象アメリカ知的財産法(PAIPA)」に基づく初の外国エクスプロイトブローカーへの適用であり、米国が商用ゼロデイの不正流通を国家安全保障問題として位置づけた象徴的な措置である。

筆者はインシデント対応の最前線で、1秒の判断遅れが被害範囲を指数関数的に拡大させる現実を経験してきた。Williamsの事例が示すのは、インサイダー脅威における「検知の遅れ」がもたらす被害が、技術的脆弱性の比ではないという教訓である。3年間にわたり8件のゼロデイが流出し続けたという事実は、防衛産業における人的セキュリティの構造的な脆弱性を露呈させた。

UNC6353とUNC6691 ── 監視からスパイ、そして犯罪への三段階拡散

Corunaの拡散経路は、商用ゼロデイの「ライフサイクル」を象徴的に示す三段階モデルとして理解できる。

第一段階: 合法的監視(L3Harris Trenchant → 政府クライアント)

Corunaは当初、Five Eyes同盟国の情報機関向けに開発された「合法的」監視ツールであった。対テロ・対諜報活動のための標的型監視を想定した設計であり、使用は政府機関の内部承認プロセスを経る建前であった。

第二段階: 国家スパイ活動(UNC6353 → ウクライナ標的攻撃)

Operation Zeroを経由してロシアの脅威アクターUNC6353がCorunaを取得した。UNC6353はロシアの国家支援型スパイグループと推定され、2025年にウクライナの産業機器ベンダー、小売プラットフォーム、Eコマースサイトに対するウォーターホール攻撃を展開した。手法はCorunaのエクスプロイトを隠しiFrameとして改ざんサイトに埋め込み、ジオロケーションフィルタリングによりウクライナ国内のiPhoneユーザーのみに選択的にペイロードを配信するものであった。ウクライナ紛争という文脈において、民間インフラを標的としたサイバー諜報活動は地政学的意味を持つ。

第三段階: 金銭目的サイバー犯罪(UNC6691 → 無差別展開)

2025年後半以降、中国の金銭目的脅威アクターUNC6691がCorunaを取得し、ジオロケーションフィルタリングを除去した上で大規模に展開した。偽の中国系暗号通貨・金融サイトのネットワークを構築し、地理的制限なく脆弱なiPhoneユーザーを無差別に攻撃した。ペイロードは金融マルウェア、暗号通貨窃取、認証情報ハーベスティングであり、国家級ツールが完全に「犯罪のコモディティ」化した瞬間である。

この三段階拡散モデルは、HPE SRX400のようなAI時代のゼロトラスト実装が前提とする「信頼境界の消失」を攻撃ツールの流通においても実証した形である。一度開発されたゼロデイエクスプロイトは、開発者の意図を超えて拡散し、その制御は事実上不可能となる。

Operation Triangulationとの技術的連続性 ── エクスプロイトの「遺伝子」が示す産業構造

Corunaの技術分析において最も重要な発見の一つは、Kaspersky社が2023年6月に発見したOperation Triangulationキャンペーンとの直接的な技術的連続性である。Kaspersky社のリバースエンジニアリングにより、CorunaにはTriangulationで使用されたカーネルエクスプロイト(CVE-2023-32434およびCVE-2023-38606)の「アップデート版」が含まれていることが確認された。

Operation Triangulationは、2019年頃から約4年間にわたりiMessageのゼロクリックエクスプロイトを用いて高価値標的(政府関係者、外交官、活動家)を攻撃していたキャンペーンであり、攻撃の帰属は公式には確定していないが、複数の研究者が国家支援型アクターによるものと評価している。Corunaがこれらのエクスプロイトを「継承」していたことは、二つの重要な事実を示唆する。

第一に、ゼロデイエクスプロイトには「遺伝子」のような技術的系譜が存在し、一度開発されたエクスプロイトコードは異なるキャンペーン・異なるアクター間で再利用・発展される。これはエクスプロイト開発が「使い捨て」ではなく、継続的なR&D投資を伴う「資産」であることを意味する。第二に、TriangulationのようなiMessage経由のゼロクリック攻撃からCorunaのWeb(ウォーターホール)ベースの配信メカニズムへの転換は、配信手段の多様化による攻撃対象の拡大を示す。iMessageの検知・防御が進む中、Web経由の攻撃面を確保することで、より広範な標的への到達を可能にしている。

A17・M3チップへの最適化が確認されたことは、Corunaの開発者がAppleの最新ハードウェアアーキテクチャに追従する能力を持っていたことを意味する。これは個人のハッカーではなく、組織的なリバースエンジニアリングチームによる継続的な開発体制を前提とする。

輸出管理の構造的失敗 ── 民主主義国が直面するジレンマ

Corunaの事例は、民主主義国の商用監視ツール輸出管理が構造的に破綻していることを決定的に示した。英国国家サイバーセキュリティセンター(NCSC)の2023年評価によれば、過去10年間で80カ国以上がスパイウェアを購入しており、アクセス可能な国家数は約40%増加した。

EU域内における輸出管理の機能不全は深刻である。Center for Democracy and Technology(CDT)の報告書は、EU加盟国間の執行アプローチの乖離、不透明なライセンス制度、人権影響評価の形骸化を指摘する。スパイウェアベンダーは加盟国間の規制差異を悪用し、ジャーナリスト・活動家・政治的反対派への攻撃が文書で実証されているにもかかわらず、実効的な執行は行われていない。

米国においても、2026年1月にRemote Access Security Act(リモートアクセスセキュリティ法)が下院を圧倒的多数で通過したが、これはクラウドコンピューティングを通じた輸出管理回避を防止するものであり、Corunaのようなインサイダー脅威による物理的流出には対応できない。Williams事件に対するPAIPA制裁の適用は画期的であったが、事後的措置であり、予防的効果は限定的である。

国際政治の観点から、商用ゼロデイの輸出管理は従来の兵器管理レジーム(ワッセナー・アレンジメント等)の延長線上で議論されてきたが、ゼロデイの特性──コピーコストがゼロ、物理的移動が不要、デジタル伝送で瞬時に移転可能──は従来の輸出管理の前提を根本から覆す。筆者はセキュリティ戦略の策定を通じて、セキュリティ戦略はビジネスの制約を理解した上でないと絵に描いた餅になるという教訓を得てきた。同様に、輸出管理も技術の特性──とりわけデジタル兵器の無限複製可能性──を理解した上で設計されなければ、形式的な枠組みに終わる。

Five Eyes同盟国内での技術共有が、内部者の裏切りによって敵対国に渡るという事態は、同盟関係そのものへの信頼を損なうリスクを持つ。オーストラリア国籍のWilliamsが米国防請負業者の責任者として機密ツールにアクセスし、ロシアに売却したという経路は、同盟国間の人事セキュリティ基準の統一化が急務であることを示す。Claude Mythosの流出事案が示すAI能力の管理困難性と同様に、高度な攻撃能力の管理は技術的問題ではなく、組織的・制度的問題なのである。

地政学的影響分析 ── ロシア・中国・ウクライナの力学

Corunaの拡散経路は、現代の地政学的対立構造を反映している。ロシアのUNC6353によるウクライナ標的攻撃は、ロシア・ウクライナ紛争のサイバー次元における重要な展開である。ウクライナの民間インフラ(産業機器ベンダー、小売プラットフォーム)をウォーターホール攻撃の踏み台とすることは、軍事作戦と連動したサイバー諜報活動の一環と位置づけられる。

Operation Zeroがゼロデイの「公開市場」として機能している事実は、ロシアが国家の枠外でサイバー能力を調達する独自のエコシステムを構築していることを示す。米国の制裁はこのエコシステムへの対抗措置であるが、暗号通貨取引と匿名化技術により、制裁の実効性は限定的と評価される。

中国のUNC6691による金銭目的展開は、異なる地政学的含意を持つ。国家支援型ではなく犯罪組織による使用は、中国当局の直接的関与を示すものではないが、中国国内のサイバー犯罪エコシステムが国家級ツールを迅速に吸収・商業化する能力を持つことを実証した。ジオロケーションフィルタリングの除去という判断は、「標的型監視ツール」を「大量搾取ツール」へと変質させるものであり、これは技術的には些少な変更でありながら、被害規模を桁違いに拡大させる。

米国にとっての戦略的衝撃は多層的である。自国防衛産業の知的財産が敵対国に流出し、同盟国(ウクライナ)への攻撃に転用されたことは、防衛産業のサプライチェーンセキュリティに対する信頼を根本から揺るがす。Williams事件後のPAIPA制裁は先例となったが、問題の本質──高度なサイバー兵器の拡散は一度始まれば制御不能である──は未解決のままである。

iOSセキュリティモデルへの構造的インパクト

Corunaの存在は、AppleのiOSセキュリティモデルに対しても構造的な問いを投げかける。iOS 13〜17.2.1という広範なバージョンカバレッジは、約4年分のiOSデバイスが潜在的な攻撃対象であることを意味する。特にiOS 15以前のサポート終了デバイスについては、パッチの提供すら行われない「永久脆弱」状態にある。

AppleのLockdown Modeが有効な回避策として機能する点は肯定的であるが、同機能の存在を前提にエクスプロイトが設計されている事実は、攻撃者と防御者の「軍拡競争」が継続していることを示す。一般ユーザーの大多数はLockdown Modeを有効化しておらず、パフォーマンスや機能制限を理由に同機能を敬遠する傾向がある。

23の脆弱性が単一のキットに統合されているという事実は、Appleの脆弱性発見・修正サイクルが商用エクスプロイト開発のペースに追いついていない可能性を示唆する。Apple Security Bounty Programの報奨金(最大200万ドル)がエクスプロイト市場の価格(数千万ドル)を大幅に下回る現状は、脆弱性の責任ある報告に対するインセンティブ構造の歪みを反映している。

商用ゼロデイの産業構造 ── 今後の展望と政策提言

Corunaが突きつける最大の課題は、商用ゼロデイ産業の「サプライチェーン」管理が事実上不可能であるという現実である。NSO Group、Cytrox/Intellexa、そしてL3Harris Trenchantに至るまで、「政府限定」を標榜する商用監視ツールは例外なく意図しない拡散を経験している。

今後の政策的課題として、以下の3点が挙げられる。

第一に、防衛産業における人的セキュリティの抜本的強化である。Williams事件は、ゼネラルマネージャーという最高位の内部者が3年間にわたり検知されずにデータを流出させたことを示す。従来のセキュリティクリアランス制度に加え、行動分析(UEBA)、最小権限原則の厳格適用、定期的なポリグラフ検査といった多層的な内部脅威対策が不可欠である。

第二に、ゼロデイ取引の国際規制枠組みの構築である。ワッセナー・アレンジメントの「侵入ソフトウェア」カテゴリは形骸化しており、Operation Zeroのような「公開市場」の存在は既存枠組みの無力さを証明している。G7やQuad(日米豪印)の枠組みを活用し、ゼロデイ取引の透明性確保とブローカー規制の国際基準策定が求められる。

第三に、エクスプロイトの「半減期」管理の概念導入である。一度開発されたエクスプロイトは、パッチ適用率が100%に達するまで有効であり続ける。iOS 13対応デバイスが市場に残存する限り、Corunaの脅威は消滅しない。各国政府は、旧バージョンOSの強制アップデートまたは使用制限を含む、より積極的なデバイスライフサイクル管理政策を検討すべきである。

FAQ

Coruna Exploit Kitとは何か?

Corunaは、iOS 13.0〜17.2.1を標的とする23の脆弱性を5つのエクスプロイトチェーンに統合した大規模iOSエクスプロイトキットである。2026年3月3日にGoogle脅威インテリジェンスが公開した。米軍事請負業者L3Harris Technologies傘下のTrenchant部門が開発したもので、Operation Triangulationの技術資産を継承・発展させている。

L3Harris Trenchantとはどのような企業か?

L3Harris TrenchantはL3Harris Technologies傘下のサイバーセキュリティ部門である。2019年にオーストラリアのAzimuth SecurityとLinchpin Labsを約2億ドルで買収・統合して設立された。米国政府およびFive Eyes同盟国向けに政府専用のゼロデイエクスプロイトを開発・販売する事業を行っている。

Peter Williamsは何をしたのか?

Peter Williams(39歳・オーストラリア国籍)はL3Harris Trenchantのゼネラルマネージャーとして、2022年から2025年にかけて8件のゼロデイエクスプロイトを窃取し、ロシアのエクスプロイトブローカー「Operation Zero」に暗号通貨で売却した。2026年2月24日に87ヶ月(7年超)の禁錮刑を宣告された。

Corunaは現在も脅威なのか?

iOS 17.2.1以前のバージョンを使用しているデバイスは依然として脆弱である。特にサポートが終了したiOS 13〜15搭載デバイスにはパッチが提供されない。AppleのLockdown Modeの有効化、最新iOSへのアップデート、不審なWebサイトへのアクセス回避が推奨される。

日本の組織はどう対応すべきか?

企業・政府機関はiOSデバイスのバージョン管理を徹底し、MDM(モバイルデバイス管理)でiOS 17.3以降への強制アップデートを推奨すべきである。また、ウォーターホール攻撃への対策としてDNSフィルタリング、ネットワーク監視の強化、従業員への啓発が重要である。インサイダー脅威への警戒も不可欠であり、特権アクセスの定期監査を行うべきである。

参考文献