米軍請負業者、ロシアによるiPhone大規模攻撃ツールの供給源と疑われる

ウクライナと中国のiPhoneユーザーを標的とした大規模なハッキング作戦で使用された攻撃ツールが、米国の軍事請負業者L3Harrisの内部プロジェクトからのものである可能性が高いことが明らかになった。このツールは当初、西側諜報機関向けにカスタマイズされたものだったが、最終的にはロシア諜報機関と中国のサイバー犯罪グループの手に渡り、軍産サイバー兵器の漏洩リスクに対する懸念が高まった。

Googleは先週、2025年の複数ラウンドの世界的攻撃で使用された洗練されたiPhone攻撃ツールキットを発見したと明らかにした。当初の開発者によって「Coruna」と名付けられたこのツールキットは23の異なるコンポーネントで構成されており、最初は匿名の政府顧客によって「高度に標的を絞られた作戦」に使用され、次にロシア政府の支援を受けたスパイによって少数のウクライナの標的に対して使用され、最終的には中国のサイバー犯罪者によって資金を盗む大規模な作戦に使用された。暗号通貨。モバイルセキュリティ会社iVerifyによる独立した分析では、このツールはもともと米国政府に製品を販売する会社によって開発された可能性が高いと判明した。

L3Harris のハッキングおよび監視技術部門である Trenchant で働いていた元従業員 2 人は、Coruna の少なくとも一部のコンポーネントが Trenchant によって開発されており、2 人とも同社が開発した iPhone 攻撃ツールに直接接触していたことをメディアに認めました。匿名を希望した2人は、「Corunaは確かに内部コンポーネントのコード名だ」と述べ、Googleが公開した技術的詳細は「非常によく知られたもの」だと述べた。元従業員の一人は、Coruna は Trenchant のツールキット全体に含まれるいくつかのコンポーネントとエクスプロイトの 1 つであると述べました。

公開情報によると、L3ハリスはトレンチントを通じてハッキング・監視ツールを米国政府とその同盟国「ファイブ・アイズ」に販売しており、顧客は米国、英国、カナダ、オーストラリア、ニュージーランドの諜報機関に限定されている。顧客が高度に制限されているという前提の下、Coruna は最初にいずれかの国の諜報機関によって購入および使用され、その後何らかの方法で漏洩し、他の攻撃者の手に渡った可能性が最も高いと考えられています。公開された Coruna ツールセット内のコードがどれだけ L3Harris Trenchant から直接取得されているかは正確には不明です。

コルーニャの国境を越えた拡散の軌跡は、元トレンチャント総支配人ピーター・ウィリアムズ氏のサイバー兵器流出事件と非常によく似ている。公的記録によると、ウィリアムズ氏は2022年から2025年半ばにかけて、8つのトレンチント攻撃ツールをロシア企業オペレーション・ゼロに販売し、約130万ドルを稼いだ。米国政府は、同氏が「世界中の数百万台のコンピュータやデバイス」を攻撃する可能性のあるツールを盗むためにトレンチントのイントラネットへの「フルアクセス」を利用したとして非難し、米国とその同盟国に対する「裏切り」とみなされている。ウィリアムズ氏は2月に懲役7年の判決を受け、ゼロ作戦は米財務省によって認可された。

米財務省は、ゼロ作戦はロシア政府と国内企業のみと協力していると主張していたと明らかにしたが、当局はウィリアムズが盗んだツールを少なくとも「1人の無許可ユーザー」に販売したと判断した。 Google の調査により、ロシアのスパイ組織 UNC6353 が未知の経路を通じて Coruna を入手し、侵害されたウクライナの Web サイトに埋め込み、iPhone を使用してこれらの Web サイトにアクセスする特定の地理的位置のユーザーをターゲットとしたことが明らかになりました。一部のアナリストは、オペレーション・ゼロがロシア当局にツールを転売した後も、他の​​ブローカーや国、さらにはサイバー犯罪グループに直接ツールを転売し続ける可能性があると考えている。米国の起訴状では、ランサムウェアギャング「トリックボット」のメンバーがオペレーション・ゼロに協力し、ブローカーを金銭的利益を求めるハッカーのネットワークに結びつけたことにも触れている。

米国検察当局によると、ウィリアムズ氏は自分が書いてオペレーション・ゼロに販売したコードを認識しており、後に韓国の仲介業者の手に渡ったという。これは、Coruna が最終的にどのようにして中国のハッカーに流れ込んだのかについての可能性を示しています。複数回の再販とコードの再利用により、このツールは政府情報サークルからより広範なハッカー エコシステムに徐々に広がりました。

Googleの研究者らは、「Photon」と「Gallium」と名付けられたCorunaの2つの特定のエクスプロイトコンポーネントが、ロシアのiPhoneユーザーをターゲットにしていると考えられる「Operation Triangulation」（「Triangle Operation」）と呼ばれる高度な攻撃作戦でゼロデイ脆弱性兵器として使用されたと指摘した。 Kaspersky LabがOperation Triangleを初めて明らかにしたのは2023年のことだ。iVerifyの共同創設者Rocky Cole氏は、現在の公開情報に基づくと、「最も合理的な説明」は、Corunaの元の開発者と顧客がそれぞれTrenchantと米国政府であるということだと述べたが、この判断はまだ「完全に決定的」ではないと強調した。

コールの判断は 3 つの点に基づいています。第一に、コルーニャの使用のタイムラインはウィリアムズ漏洩事件と非常に重なります。 2 番目に、Coruna の 3 つの主要モジュール、「プラズマ」、「フォトン」、「ガリウム」の構造は、「オペレーション トライアングル」で観察されたモジュールと非常によく似ています。第三に、Coruna はその作戦で使用されたいくつかの攻撃コードを再利用します。同氏はまた、「国防関係者に近い人々」からの情報では「プラズマ」モジュールが「オペレーション・トライアングル」でも使用されたと主張しているが、現時点でこれを裏付ける公的な証拠はないことも明らかにした。コール自身もかつて国家安全保障局（NSA）で働いていたことがある。

Google と iVerify による技術分析によると、Coruna は iOS 13 から iOS 17.2.1 を実行する iPhone を攻撃するように設計されており、2019 年 9 月から 2023 年 12 月までにリリースされた一連のシステム バージョンを対象としています。この期間は、ウィリアムズの漏洩ツールとオペレーション トライアングルの発見のタイムラインとも一致します。トレンチントの元従業員は、カスペルスキーが 2023 年に初めて「オペレーション トライアングル」を公開したとき、社内の多くの人々が、捕捉されたゼロデイ脆弱性の少なくとも 1 つは「当社からのもの」であり、Coruna を含むプロジェクト全体から「剥がされて」使用された可能性があると信じていたと回想しました。

セキュリティ研究者のコスティン・ライウ氏もソーシャルプラットフォームで、Cassowary、Terrorbird、Bluebird、Jacrutu、Sparrowなど、Cassowary、Terrorbird、Bluebird、Jacrutu、Sparrowなどの鳥の名前がCorunaツールの多くのコンポーネントに付けられており、これがTrenchantの技術遺産に暗黙的に関連していると指摘した。ワシントン・ポスト紙は、2021年にはすでに、後にL3ハリスに買収されトレンチントに合併されたセキュリティ会社であるアジマスが、有名なサンバーナーディーノ銃乱射事件でiPhoneのロックを解除するために使用されたCondorと呼ばれるiPhoneクラッキングツールをFBIに売却したと報じた。

「トライアングル作戦」が暴露された後、ロシア連邦保安局（FSB）は、米国家安全保障局がこのツールを使用して、外交官などをターゲットにロシア国内の「数千台のiPhone」をハッキングしたと非難した。カスペルスキーは当時、FSBの告発の詳細は承知していないと述べたが、ロシアの国家サイバーインシデント調整センター（NCCCI）が開示した「侵害の兆候」は、カスペルスキーが以前に特定した証拠と一致していると指摘した。しかし、カスペルスキーのセキュリティ研究者であるボリス・ラリン氏は、広範な調査を行ったにもかかわらず、「オペレーション・トライアングル」が既知のAPT（Advanced Persistent Threat）グループや脆弱性開発会社によるものであるとはまだ特定できないと述べた。

Larin 氏は、Google が Coruna を Operation Triangle と関連付けた理由は、両方とも Photon と Gallium という同じ脆弱性を悪用したためであると説明しました。ただし、これら 2 つの脆弱性の詳細は長い間公開されており、どの当事者もこれに基づいて独自の攻撃チェーンを開発する可能性があるため、脆弱性を共有するだけでは帰属を完了するには十分ではありません。同氏は、これら 2 つの共通の脆弱性は「氷山の一角にすぎない」と強調しました。カスペルスキーはトライアングル作戦の背後にいるとして米国政府を公に非難したことはないが、この作戦のために同社がデザインした複数の三角形で構成された Apple ロゴは視覚的に L3Harris のブランドロゴに似ていることは言及する価値がある。これはカスペルスキーでよく使われる「ビジュアルヒント」技術だと信じている人もいます。

カスペルスキーの過去のやり方は、この推測を裏付けるもののようだ。同社は2014年、「Careto」（「マスク」の意味）と呼ばれる政府高官ハッカーグループの存在を暴露した。襲撃犯がスペイン語だったことのみが記載されているが、報告書で使われたマスクのイラストにはスペイン国旗の赤と黄色、雄牛の角、鼻輪、カスタネットなどが加えられており、襲撃犯がスペイン政府の関係者であることを示唆していると考えられる。その後の報道がカスペルスキー内部関係者の発言を引用したように、研究チームはCaretoがスペイン政府主導の作戦であることは「疑いの余地がない」と非公式に信じていた。

コルーニャを巡る論争もメディア追跡の継続を促している。サイバーセキュリティレポーターのパトリック・グレイ氏は、今週のポッドキャスト「リスキー・ビジネス」で、ウィリアムズ氏が保有し自信を持っていた「断片的なインテリジェンス」に基づいて、「オペレーション・トライアングル」で使用された攻撃フレームワークと全く同じオペレーション・ゼロを販売したと述べた。現時点では、Apple、Google、Kaspersky、Operation Zero はこの問題に対して公的に対応していません。