スマホ侵害が企業侵害へ直結する構造
米政府由来とされるiPhone向けハッキングツール「Coruna」が発見され、攻撃技術が犯罪集団に渡った可能性が報じられた。スマートフォンは個人情報だけでなく、業務メール、業務チャット、決済、クラウド認証、2FAの承認まで集約する端末である。ここを突破されるとPC以上に被害が連鎖しやすい。
情シスが直視すべきは「社内ネットワーク外の端末でも、ID連携で社内資産へ到達できる」という点だ。ゼロトラストが進むほどIDの価値が上がり、スマホ侵害はアカウント侵害の加速装置になり得る。端末単体の問題として扱うと対応が遅れる。
Corunaの特徴と「流出」の本質
政府級ツールは単なるマルウェアではなく、脆弱性悪用(エクスプロイト)に加え、侵入後の権限維持、情報窃取、検知回避、運用ノウハウがパッケージ化されがちである。スマホは多層防御が進むため、複数の弱点を組み合わせたチェーンや、発覚しにくい運用が前提となる。重要なのは「侵入できた」ことより「侵入後に何を奪えるか」である。
流出の本質は、高度攻撃の低コスト化と量産である。たとえ一部の脆弱性が修正済みでも、解析情報や回避手法、探索ロジックは再利用できる。犯罪者が研究開発をショートカットし、別の脆弱性やフィッシングと組み合わせて継続的に悪用するリスクが高まる。
企業で想定すべき攻撃シナリオ
高価値標的へのスパイ活動だけでなく、企業では「スマホ起点のID侵害」が最も現実的な脅威となる。端末内のメール、クラウドのセッショントークン、2FAコードや通知承認を足がかりに、SaaSや社内システムへ横展開される恐れがある。金融・決済詐欺や恐喝など、私用領域の侵害が業務へ波及するケースも想定すべきだ。
- 幹部・管理者アカウントの乗っ取りからM365/Google Workspace/SSOへ侵入
- 2FAの迂回(通知承認・SMS・認証アプリの悪用)で不正ログインを成立
- 端末情報の窃取を起点に、取引先や社内関係者へ標的型展開
情シスが取るべき三本柱:統制・露出削減・即応
第一に、OS・アプリ更新の徹底である。自動アップデートを基本とし、企業ではMDMで適用期限を設け、未適用端末の業務アクセスを制限する。第二に、攻撃面の縮小である。構成プロファイル配布や証明書、VPN設定を統制し、業務アプリ権限は最小化する。認証は可能な範囲でフィッシング耐性の高い方式(パスキーやFIDO2)へ移行したい。
第三に、侵害を前提とした検知と即応である。端末側の挙動だけでなく、IdPの不審ログイン、条件付きアクセス、端末準拠ポリシー、EDR/MDR連携を軸に監視する。疑わしい兆候が出た際は、端末隔離、資格情報失効、セッション強制切断、重要アカウント再発行までを手順化しておくべきだ。
参照元:iPhoneを狙う高度ハッキングツール「Coruna」流出疑惑が示す現実:政府級エクスプロイトが犯罪に転用される時代