ロシアのスパイが使用していたiPhoneハッキングツールキットが、米国の軍事請負業者L3Harrisによって開発された可能性が高いと報じられています。このツールキットは、元々は西側諸国の情報機関向けに作られたものとされていますが、最終的にはロシア政府のスパイや中国のサイバー犯罪グループの手に渡ったと見られています。
「Coruna」ツールキットの発見と拡散
2025年、Googleは「Coruna」と名付けられた高度なiPhoneハッキングツールキットが世界中で使用されていることを発見しました。このツールキットは23の異なるコンポーネントで構成されており、当初は匿名の政府顧客によって「高度に標的を絞った作戦」で利用されていました。その後、ロシア政府のスパイがウクライナの限られた数のiPhoneユーザーに対して使用し、最終的には中国のサイバー犯罪グループが金銭や仮想通貨の窃盗を目的とした大規模なキャンペーンで悪用したとされています。
モバイルセキュリティ企業iVerifyもCorunaを独自に分析し、このツールキットが元々米国政府に販売された企業によって開発された可能性を指摘しています。
L3Harrisの関与の可能性
TechCrunchの取材に応じたL3Harrisの元従業員2名は、Corunaが同社のハッキングおよび監視技術部門であるTrenchantによって、少なくとも一部が開発されたものであると証言しました。両者とも、TrenchantでのiPhoneハッキングツールに関する知識を持っており、Googleが公開した技術的詳細の多くに見覚えがあると述べています。
Trenchantは、そのハッキングおよび監視ツールを米国政府と、オーストラリア、カナダ、ニュージーランド、英国を含む「ファイブ・アイズ」情報同盟の国々に限定して販売しています。このため、Corunaはこれらの政府機関のいずれかによって取得され、意図しない形で流出した可能性が考えられます。ただし、公開されたCorunaツールキットのどの部分がL3Harris Trenchantによって開発されたのかは不明です。
L3Harrisの広報担当者は、この件に関するコメントの要請に応じていません。
流出経路の推測:ピーター・ウィリアムズ事件との関連
Corunaがファイブ・アイズの政府請負業者からロシア政府のハッキンググループ、そして中国のサイバー犯罪組織へと渡った経緯は不明ですが、その状況はピーター・ウィリアムズ事件と類似していると見られています。ウィリアムズはTrenchantの元ゼネラルマネージャーで、2022年から2025年半ばにかけて、同社の8つのハッキングツールをロシア企業Operation Zeroに販売し、懲役7年の判決を受けています。
ウィリアムズはTrenchantのネットワークへの「完全なアクセス権」を悪用し、130万ドルでツールを販売したことを認めています。米国政府は、彼が漏洩したツールが「世界中の何百万ものコンピューターやデバイスにアクセスできる可能性があった」と指摘しており、iOSのような広く使用されているソフトウェアの脆弱性を悪用していたことを示唆しています。
米国政府から制裁を受けているOperation Zeroは、ロシア政府および国内企業と独占的に協力していると主張しています。米国財務省は、このロシアのブローカーがウィリアムズの「盗まれたツールを少なくとも1人の無許可ユーザーに販売した」と主張しており、これがロシアの諜報機関(GoogleがUNC6353と特定)がCorunaを入手し、ウクライナのウェブサイトを介して特定のiPhoneユーザーを標的にした経緯を説明する可能性があります。
Operation ZeroがCorunaをロシア政府に販売した後、さらに別のブローカーや国、あるいはサイバー犯罪者に転売した可能性も考えられます。財務省は、TrickbotランサムウェアギャングのメンバーがOperation Zeroと協力していたと主張しており、金銭目的のハッカーとのつながりを示唆しています。
Operation Triangulationとの関連性
Googleの研究者たちは、Corunaの2つの特定の脆弱性「Photon」と「Gallium」が、ロシアのiPhoneユーザーを標的とした高度なハッキングキャンペーン「Operation Triangulation」でゼロデイとして使用されたと述べています。Operation Triangulationは、2023年にKasperskyによって初めて公表されました。
iVerifyの共同創設者であるRocky Cole氏は、Corunaの元の開発者と顧客がTrenchantと米国政府であるという見解が「現時点で知られている情報に基づく最善の説明」であると述べています。この評価は、Corunaの使用時期がウィリアムズのリークと一致すること、Corunaに含まれる3つのモジュール(Plasma、Photon、Gallium)の構造がTriangulationと強い類似性を持つこと、そしてCorunaがTriangulationで使用されたのと同じエクスプロイトの一部を再利用していることに基づいています。
CorunaはiOS 13から17.2.1(2019年9月から2023年12月)を搭載したiPhoneモデルをハッキングするように設計されており、これらの日付はウィリアムズのリークやOperation Triangulationの発見時期と一致します。
Trenchantの元従業員の一人は、2023年にTriangulationが初めて公表された際、社内の他の従業員がKasperskyによって発見されたゼロデイの少なくとも1つが「我々のもの、そしてCorunaを含む包括的なプロジェクトから『引き抜かれた』可能性がある」と考えていたとTechCrunchに語っています。
セキュリティ研究者のCostin Raiu氏が指摘するように、Corunaの23のツールの一部に鳥の名前(Cassowary、Terrorbird、Bluebird、Jacurutu、Sparrowなど)が使われていることも、Trenchantとの関連性を示唆する手がかりです。2021年には、The Washington Postが、L3Harrisに買収されTrenchantに統合されたスタートアップの1つであるAzimuthが、悪名高いサンバーナーディーノiPhoneロック解除事件でFBIに「Condor」というハッキングツールを販売したことを報じています。
KasperskyはOperation Triangulationの背後にある組織を公には特定していませんが、同社がキャンペーンのために作成したロゴ(複数の三角形で構成されたAppleロゴ)がL3Harrisのロゴを連想させるという指摘もあります。Kasperskyは過去にも、公には特定しないものの、ロゴなどで示唆する手法を取ったことがあります。
サイバーセキュリティジャーナリストのPatrick Gray氏は、自身のポッドキャスト「Risky Business」のエピソードで、ウィリアムズがOperation Zeroに漏洩したハッキングキットがTriangulationキャンペーンで使用されたものだと確信していると述べています。