ロシアスパイの手に渡ったiPhoneハッキングツールCoruna、出どころは米軍請負業者だった可能性

佐々山 Tacos

2026.03.11

ロシアスパイの手に渡ったiPhoneハッキングツールCoruna、出どころは米軍請負業者だった可能性

TechCrunch – March 9, 2026

ウクライナおよび中国のiPhoneユーザーを狙った大規模ハッキングキャンペーンで使われたエクスプロイトキット「Coruna」は、米国軍の請負事業者であるL3Harris社が設計したものである可能性が高いという。TechCrunchが報じた。

Corunaは元々西側諸国の政府顧客向けに作られたツールだが、Googleの研究者らは同ツールがロシアのスパイグループや中国のサイバー犯罪者に使用されているのを発見。2026年3月4日付けのブログ記事で詳細を報告していたものの、ツールの開発者が誰なのかや元々の顧客がどの国の政府だったのかなどは明かされていなかった。

詳しくはこちらの記事で：政府向けiPhoneハッキングツール「Coruna」、サイバー犯罪者にも使用されるように

そんな中、TechCrunchは3月9日付けの記事において、同紙が聞き取りを行ったL3Harris社の元従業員2人が「Corunaは、少なくとも部分的には同社のハッキング・サーベイランステック部門であるTrenchantによって開発された」と語った旨を報道。この2名はいずれも匿名を条件に取材に回答したとされる。

うち1名は、Trenchant在籍時の職務の一部としてiPhoneハッキングツールに関する知識を有していた人物で、「Corunaは、紛れもなくあるコンポーネントの社内での呼称だった」と述べた上、Googleのレポート記事に記された技術的詳細について、「見覚えのある部分がかなり多い」と指摘したという。

この人物によれば、Trenchant製ツールキットには、Corunaや関連するエクスプロイトを含めて複数の異なるコンポーネントが含まれていたとされる。またもう1人の元従業員も、Googleなどが公開しているCorunaの技術的詳細のいくつかはTrenchantのものであると認めているという。

L3Harrisは、Trenchant製ハッキング・サーベイランス（監視）ツールを米国政府のほか、オーストラリア、カナダ、ニュージーランド、英国（ファイブ・アイズ）の政府にのみ販売している。顧客の数が限定的であることを踏まえると、Corunaは元々上記いずれかの国の諜報機関に利用されていた可能性が考えられる。ただ、顧客以外のアクターやサイバー犯罪者の手に渡ったCorunaツールキットのうち、Trenchant製のコンポーネントがどの程度の割合を占めるのかは不明だという。

Corunaがどのようにロシア政府関連のハッキンググループや中国のサイバー犯罪グループの手に渡ったのかははっきりしていない。しかし可能性の1つとして挙げられているのが、Trenchantの元重役であるPeter Williams被告がある2つの企業から盗み出し、ロシア企業へ売却した営業秘密の1つがCorunaだったという説。Williams被告は2022年4月から2025年6月の間に7件、2025年6月から8月6日の間に1件のハッキングツールを盗み、ロシア企業「Operation Zero」に130万ドルで販売した疑いがある人物で、2026年2月に7年の拘禁刑を言い渡されている。

Operation Zeroはロシア政府および同国の企業とのみ取引があるブローカーで、2026年2月には米政府から制裁対象に指定されている。米財務省によれば、同社はWilliams被告から購入した盗難ツールを、「少なくとも1人の認可されていないユーザー」に販売したとされる。

TechCrunchは、これがロシア関連スパイがCorunaを入手した経緯である可能性があると指摘。加えて、Operation ZeroがCorunaを入手してロシア政府に販売したと仮定した場合、その後ロシア政府以外の顧客にも転売した可能性が考えられるとも記した。例えば米財務省はTrickbotグループがOperation Zeroと取引していたと主張しており、事実であれば同ブローカーと金銭目的のハッカーらの間には繋がりがあることになる。また、米検察によれば、Wiliams被告は自身が作成し、Operation Zeroに販売したコードがその後韓国のブローカーによって使われたことを認識していたとされる。TechCrunchは、この過程のどこかでCorunaが中国のサイバー犯罪者の手に渡っていた可能性を示唆した。