米軍請負業者の諜報ツールが世界を駆け巡った

「自国のために開発した武器が、敵の手に渡る」——これはスパイ映画の定番シナリオではなく、2025年に実際に起きたことだ。

米国の防衛請負業者が開発した高度なiPhone不正アクセスツールが、ロシア政府のスパイ組織と中国のサイバー犯罪者の双方に使用され、ウクライナと中国のiPhoneユーザーを標的にした大規模な攻撃キャンペーンに悪用されていたことが明らかになった。テクノロジーメディア「TechCrunch」が2026年3月に報じた内容によると、この一連の事態は、サイバー兵器の管理と拡散をめぐる深刻な問題を浮き彫りにしている。

「Coruna」とは何か——23個の部品で構成された諜報ツール

事の発端は、Googleが2026年初頭に発表した調査報告だ。同社は2025年を通じて、「Coruna（コルナ）」と呼ばれる高度なiPhoneハッキングツールキットが、一連のグローバル攻撃に使用されていたことを突き止めた。

Corunaは23個の異なるコンポーネントで構成されており、もともとは「高度に標的を絞った作戦」において、匿名の政府顧客が使用していたものだという。ツールキットの対象となったのは、iOS 13からiOS 17.2.1（2019年9月から2023年12月の間にリリース）を搭載したiPhoneだ。

このツールがその後どのような経路をたどったかが、今回の問題の核心にある。Corunaはまず、ロシア政府系のハッカー集団（Googleは「UNC6353」と識別）によってウクライナ人を標的に使用された。攻撃の手口は巧妙で、特定の地理的位置にいるiPhoneユーザーが特定のウェブサイトを訪問した際に、自動的に感染させる「ウォーターホール攻撃」の手法が取られた。その後、同じツールキットが中国のサイバー犯罪者の手に渡り、今度は金銭と暗号資産の窃取を目的とした「大規模」キャンペーンに転用された。

モバイルセキュリティ企業iVerifyの共同創業者でNSA（米国家安全保障局）出身のロッキー・コール氏は、「現時点で判明している情報に基づく最善の説明」として、Corunaの開発元が米国防請負業者L3ハリスのハッキング・監視技術部門「Trenchant（トレンチャント）」であると指摘している。ただし同氏は、これを「断定的に主張するものではない」とも付け加えている。

L3ハリスの元従業員2名がTechCrunchに匿名で証言し、CorunaはTrenchantが開発したツールキットの内部名称であったと述べた。「Corunaは確かに内部コンポーネントの名称だった」と元従業員の一人は語っている。L3ハリスの広報担当者はコメント要求に応じなかった。

内部犯行——元社員が諜報ツールを売り渡した経緯

ツールがどのようにして外部に流出したかを理解するには、ピーター・ウィリアムズという人物の存在が欠かせない。

ウィリアムズは、Trenchantの元ゼネラルマネージャーで、オーストラリア国籍の39歳。2022年から2025年半ばの退職まで、Trenchantの社内ネットワークへの「完全なアクセス権」を悪用し、同社のハッキングツール8件をOperation Zero（オペレーション・ゼロ）というロシア企業に売り渡した。Operation Zeroは、未知の脆弱性（ゼロデイ脆弱性）を高額で買い取るロシアのブローカー企業で、米政府から制裁を受けている。ウィリアムズが得た報酬は130万ドル（約1億9千万円）。先月、彼は7年の禁固刑を言い渡された。

広告

広告掲載について

[email protected]

広告

米財務省はOperation Zeroが、ウィリアムズから入手した「盗まれたツールを少なくとも1人の無許可ユーザーに販売した」と主張している。これがロシアの諜報グループUNC6353へのCorunaの流出経路を説明する可能性が高い。その後、ツールはさらに別のブローカーや国家、あるいはサイバー犯罪者の手に渡ったとみられる。財務省は、悪名高いランサムウェアグループ「Trickbot」のメンバーがOperation Zeroと協力関係にあったとも指摘しており、金銭目的のハッカーとの接点が浮かび上がっている。

さらに興味深いのは、2023年にカスペルスキーが公表した「Operation Triangulation（オペレーション・トライアングレーション）」との関連だ。この作戦では、ロシア国内のiPhoneユーザー（特に外交官）が標的にされた。Googleの研究者は、CorunaのコンポーネントであるPhotonとGalliumが、Triangulationで使用されたゼロデイ脆弱性と同一であることを確認している。カスペルスキーはTriangulationの犯人を公式には特定していないが、同社がキャンペーンのために作成したロゴ（三角形で構成されたリンゴのマーク）がL3ハリスのロゴに酷似していることは、業界関係者の間で注目を集めている。

なぜ今、この問題が重要なのか

この事件は、単なる内部告発やスパイ映画的な話にとどまらない。いくつかの点で、現代のサイバーセキュリティをめぐる構造的な問題を示している。

第一に、サイバー兵器の「拡散」問題だ。 核兵器や化学兵器と異なり、サイバー兵器は一度流出すれば複製・転用が容易で、開発者の意図とは無関係に世界中で使用される可能性がある。今回のケースでは、米国の同盟国向けに開発されたツールが、ロシアの諜報活動と中国のサイバー犯罪の両方に利用されるという、開発者にとって最悪のシナリオが現実になった。

第二に、「インサイダー脅威」の深刻さだ。 ウィリアムズのケースは、どれほど厳格なセキュリティ体制を構築しても、内部の人間による裏切りを完全に防ぐことは難しいという現実を示している。彼は「完全なアクセス権」を持つ立場を利用し、数年間にわたって組織的に機密ツールを横流しした。

第三に、日本企業・日本ユーザーへの示唆だ。 今回の攻撃の直接的な標的はウクライナと中国のユーザーだったが、Corunaが対象とするiOS 13〜17.2.1は、日本でも広く使用されているバージョン帯だ。ソニー、トヨタ、任天堂など、グローバルに事業を展開する日本企業のサプライチェーンや海外拠点が、類似したツールによる攻撃のリスクにさらされている可能性は否定できない。特に、Five Eyes（ファイブ・アイズ）諸国と緊密な安全保障関係を持つ日本は、こうした諜報ツールの流通経路に関する情報収集において、より積極的な役割を担うべき立場にある。

日本政府は2024年以降、能動的サイバー防御（ACD）の法整備を進めているが、今回の事件は「守る」だけでなく、「サイバー兵器の管理と流出防止」という国際的な枠組み作りに日本がどう関与するかという問いを突きつけている。

多様な視点——誰がどう見るか

米国政府の立場から見れば、ウィリアムズの逮捕と有罪判決は「法の支配」が機能した証拠だ。しかし批判的な見方をすれば、そもそもなぜ一人の社員が数年間にわたって機密ツールを流出させ続けられたのか、という監視体制の問題が残る。

ロシアと中国の立場は複雑だ。FSB（ロシア連邦保安庁）は2023年、NSAがロシア国内のiPhoneを「数千台」ハッキングしたと主張していた。今回の報告はその主張に一定の根拠を与えるとともに、ロシア自身もCorunaを使ってウクライナを攻撃していたという事実を浮き彫りにする。中国については、サイバー犯罪者がツールを使用したとされており、国家の関与については明確ではない。

セキュリティ研究者コミュニティの間では、カスペルスキーの「暗黙の帰属」の手法——ロゴやシンボルを通じて犯人を示唆しつつ、公式には特定しない——が議論を呼んでいる。これは政治的配慮なのか、それとも証拠の限界なのか。

一般のiPhoneユーザーにとっては、iOSの定期的なアップデートの重要性が改めて確認される。Corunaが対象とするiOS 17.2.1以前のバージョンは、現在ではすでにサポート対象外か、パッチが適用済みだ。しかし、古いデバイスを使い続けるユーザーは依然としてリスクにさらされている。