「iPhoneは安全」――そう信じている人は多いはずです。実際、Appleのセキュリティは業界でも高評価です。
ところが2026年3月、米国の複数の報道とセキュリティ企業の分析が、非常に嫌な現実を突きつけました。
政府レベルのiPhoneハッキングツール群が、サイバー犯罪に転用され始めているという話です。
TechCrunchは「政府が使うはずのiPhone侵入ツールが、犯罪者の手に渡っている」と報じています。
さらにGoogleの脅威インテリジェンス(GTIG)と、モバイルセキュリティ企業iVerifyが、ツールの中身を具体的に分析しました。
そこで浮上した名前が「Coruna」です。
この記事では、TechCrunchの報道を出発点に、米国の追加情報をつなぎ合わせながら、
日本では“さらっと流されがちな”論点――「政府のハッキング能力」と「それが社会へ漏れたときの代償」――を深掘りします。
なお、ここでいう“政府”は特定の国に限定した話ではなく、国家・諜報機関・捜査機関が持つサイバー能力全体の問題として扱います。
目次
「Coruna」とは何か:iPhoneに“侵入するための部品一式”
Corunaは単発の脆弱性(バグ)ではなく、複数の脆弱性を鎖のようにつないでiPhoneを乗っ取る“攻撃キット(exploit kit)”だと説明されています。
iVerifyは、Corunaが23個の脆弱性を含み、複数の“攻撃チェーン”として使われうると述べています。
Google(GTIG)も同様に、Corunaを「強力なiOS攻撃ツール」として詳細を公開しました。
ここが重要ポイントです。脆弱性は、単体だと「アプリが落ちる」程度で終わることもありますが、
攻撃者はそれを“組み合わせ”ます。たとえば、
例:攻撃チェーン(ざっくり)
① Safariなどのブラウザ処理でコードを動かす(入口)
② 権限を上げる(サンドボックス脱出・特権昇格)
③ 端末内部へ深く入り、情報取得・永続化・痕跡消し(ゴール)
これが成立すると、一般ユーザーの感覚では「いつの間にか侵入されていた」になります。
WiredはCorunaについて、特定のWebページ閲覧だけで侵入が成立しうる趣旨を報じています。
つまり「怪しいアプリを入れた覚えがない」では防ぎきれない局面がある、ということです。
なぜ“政府レベル”と言われるのか:作りがプロ、そして示唆される出自
Corunaが注目されるのは、単に強力だからではありません。
いくつかの報道と分析では、コードの品質や設計が「プロの開発体制」を感じさせるとされ、
さらにiVerifyは、過去に米国に帰属が取り沙汰されたiPhone向け攻撃(Operation Triangulation)との類似点を示した、と報じられています。
TechCrunchも、iVerifyがCorunaを米国政府のハッキングツールとの類似性から関連付けた点に触れています。
もちろん「100%断定」できる話ではありません。
しかし、WiredやCyberScoopなどの報道は、“政府向けに作られた可能性があるものが、いま犯罪にも使われている”という構図そのものを重く見ています。
これは“陰謀論”ではなく、過去に似た事件が現実に起きているからです。
どうやって犯罪者に渡るのか:流出の典型パターン
「政府のツールが犯罪者の手に渡るなんて、そんなことある?」と思うかもしれません。
しかし、サイバー領域では起きます。理由は大きく3つあります。
委託・外注・ブローカー構造(サプライチェーン)が長い
政府機関のサイバー能力は、政府内だけで完結しているとは限りません。
防衛産業・セキュリティ企業・研究者・ブローカーが絡む市場が存在し、そこでゼロデイ(未修正バグ)が取引されます。
TechCrunchは、米国の防衛関連でハッキングツールに関わった人物がロシア側へ売り渡した事件を掘り下げており、
「政府周辺の民間」が介在する現実を示しています。
ツールや脆弱性が“再販売”される
一度開発された攻撃技術は、価値が高い。
そして高価なものほど、どこかで「横流し」や「二次流通」が起きやすい。
Corunaが、監視目的→諜報目的→金銭目的(詐取)へと利用主体が移っていった、とする説明は、
Google(GTIG)やセキュリティ系報道でも語られています。
“盗まれる/リークされる”
最も分かりやすいのがこれです。国家のサイバー兵器が漏れた結果、世界に拡散する。
そして現実に、それが世界的な被害を生みました。
既視感がある話:NSAツール流出→WannaCry級の被害
2017年前後、米国NSAの攻撃ツールが漏れ、そこから派生した技術がサイバー犯罪に使われた流れは広く知られています。
脆弱なWindows環境に爆発的に被害が出たWannaCryは、その象徴として語られます。
さらにWiredは別件として、NSAのツールが別の国家側に“先に”再利用されていた可能性(EpMeの事例)も報じています。
ここで重要なのは「当時はWindows中心だった」だけで、
今回の焦点は“スマホ(iPhone)”だという点です。
PCの被害は業務停止・金銭損害が中心ですが、スマホはそれに加えて、
個人の生活情報(位置・写真・連絡先・認証アプリ・決済)が密集しています。
つまり、同じ「流出」でも、生活への刺さり方が違います。
何が現実に起きうるのか:被害シナリオを“具体例”で考える
「国家レベルのツールが犯罪者に渡る」と言われても、ピンと来ない人は多いはずです。
そこで、起きうる被害を“生活に落とす”形で例示します。
例1:SNS乗っ取り → 友人に詐欺が波及
端末が侵入されると、パスワードそのものを盗むより早く、ログイン状態のままSNSを操作される可能性があります。
すると「本人からの連絡」に見える形で、友人・同僚へ詐欺が広がります。
特にLINE、Instagram、X、Facebookなどは“本人性”が強いので、被害が連鎖しやすい。
例2:仮想通貨・証券アプリが狙われる
GTIGや関連報道では、Corunaが金銭目的のキャンペーンにも利用された可能性が示唆されています。
スマホは二段階認証(認証アプリ)も担うため、侵入されると
「本人確認の砦」ごと突破されるリスクがあります。
例3:位置情報が抜かれる(ストーカー/脅迫に直結)
スマホ侵入が怖いのは、データ流出だけでなく、行動パターンが把握されることです。
「いつ」「どこにいるか」が分かれば、脅迫・付きまとい・押し込み強盗などの実害へ直結します。
例4:マイク・カメラが“意識せず”使われる
高度なスパイウェアでは、端末が監視装置化することが知られています(Pegasus等の事例)。
iPhoneが「安全なはず」という思い込みが強いほど、発見が遅れます。
「政府のため」か「社会のため」か:ゼロデイ保有のジレンマ
ここからが、日本であまり噛み砕かれない論点です。
政府がゼロデイを保有する理由は「治安・国家安全保障」です。
一方で、それを秘匿すればするほど、一般市民は修正パッチを受け取れない時間が延びます。
つまり、同じ脆弱性を
政府が使えば“捜査”になり、
犯罪者が使えば“犯罪”になる。
しかし脆弱性そのものは同じで、漏れた瞬間に区別が崩壊します。
Corunaの件が突きつけるのは、この構造的な脆さです。
個人ができる対策:国家級に“勝つ”のではなく“刺さりにくくする”
正直に言うと、国家級の攻撃を「完全に防ぐ」ことは難しいです。
ただし多くの被害は、古いOS・古い端末・油断した習慣を狙います。
ここでは現実的な防御をまとめます。
iOSアップデートは“できるだけ早く”
Corunaは過去バージョンのiOSを中心に狙える、とされます。
OS更新は面倒でも、最も効く防御です。
「後でまとめて」より、「出たら早め」が基本です。
高リスク層はAppleの「ロックダウンモード」を検討
ジャーナリスト、政治関係者、企業の要職、対外発信が多い人(炎上・脅迫されやすい人)は、
iPhoneのロックダウンモードが選択肢になります(利便性は落ちますが、防御が上がります)。
Wiredもスパイウェア対策としてロックダウンモードに言及しています。
“リンクを踏まない”だけでは足りない時代に
従来の「怪しいリンクに注意」は今も有効です。
ただ、今回のようなケースでは“閲覧”自体が入口になりうるため、
怪しいサイトに近づかない(検索結果から直行しない、広告経由を避ける)など、
行動習慣の方が効く局面があります。
仕事用と私用を分ける(最低でもアカウントを分ける)
侵入の怖さは、仕事・私生活・金融が全部つながっていることです。
端末を分けられない場合でも、
「重要アカウントのログイン端末を限定する」「認証アプリの移行ルールを作る」など、
被害の連鎖を止める設計ができます。
企業・組織側の論点:iPhoneは“安全端末”ではなく“高価値ターゲット”
日本の組織でよくある誤解が、「iPhone=セキュアだから大丈夫」という前提です。
しかし現実には、役員・広報・営業・開発責任者などのiPhoneは、
社内情報・顧客情報・認証情報が集中する“最短ルート”になりがちです。
企業はPCのEDRは入れても、スマホの監視や運用(MDM、ログ、端末更新の強制)を後回しにしがちです。
ところが“国家級ツールが犯罪にも降りてくる”局面では、スマホが穴になります。
端末の更新遅延や、BYOD運用の曖昧さが、攻撃者にとっては最大の甘さになります。
まとめ:政府のサイバー兵器が漏れると、社会のルールが変わる
Corunaの話が怖いのは、「iPhoneに危険な脆弱性があった」こと以上に、
国家レベルの攻撃能力が、犯罪の道具として“民間社会に落ちてきた”可能性が示された点です。
これは“陰謀”ではなく、過去の事例(政府ツール流出→犯罪悪用)があるからこそ、現実味が強い。
そして今後、同種の流出が繰り返されるなら、
「端末の安全性」はOSやメーカーだけでなく、
政府・業界・市場(ゼロデイ取引)全体の設計に左右される時代になります。
個人ができることは多くありません。ですがゼロではない。
更新する・高リスクなら守りを上げる・重要データを一極集中させない。
“国家級には勝てない”前提で、刺さりにくい生活設計に寄せる――それが、現実的な防御になります。
参考リンク一覧
- TechCrunch:
A suite of government hacking tools targeting iPhones is now being used by cybercriminals - iVerify(公式ブログ):
Coruna: Inside the Nation-State-Grade iOS Exploit Kit We've Been Tracking - Google Cloud Blog(GTIG):
Coruna: The Mysterious Journey of a Powerful iOS Exploit Kit - Wired:
A Possible US Government iPhone-Hacking Toolkit Is Now in the Hands of Foreign Spies and Criminals - CyberScoop:
Possible U.S.-developed exploits linked to leaked Coruna iOS exploit kit - Nextgov:
Potential US-built hacking tools obtained by foreign spies and cybercriminals, research says - TechCrunch(関連:防衛系ツールのロシア流出事件):
Inside the story of the US defense contractor who leaked hacking tools to Russia - Wired(関連:NSAツールの再利用問題):
China Hijacked an NSA Hacking Tool in 2014—and Used It for Years - TechCrunch(関連:傭兵型スパイウェア事例):
Intellexa’s Predator spyware used to hack iPhone of journalist in Angola, research says - Kaspersky(Operation Triangulation 参考):
Operation Triangulation: Kaspersky releases utility for malware detection