CISAがCoruna関連のiOS 脆弱性 3件をKEV追加 iOS 13〜17.2.1を狙う23件の攻撃キット対応(CVE-2023-41974,CVE-2021-30952,CVE-2023-43000)

セキュリティニュース

投稿日時: 更新日時:

CISAがCoruna関連のiOS 脆弱性 3件をKEV追加 iOS 13〜17.2.1を狙う23件の攻撃キット対応(CVE-2023-41974,CVE-2021-30952,CVE-2023-43000)

米CISAは3月5日、Known Exploited Vulnerabilities CatalogにApple関連の3件、CVE-2021-30952、CVE-2023-41974、CVE-2023-43000を追加しました。いずれも、Google Threat Intelligence Groupが公表したiOS向け攻撃キット Coruna で悪用されていた脆弱性群に含まれるものです。CISAのKEVは、実際に悪用が確認された脆弱性を優先管理するための基準であり、組織の脆弱性管理で優先度を引き上げるシグナルと受け止めるべきです。

Corunaとは何か

Corunaは、GoogleによるとiOS 13.0から17.2.1までのiPhoneを狙う強力な攻撃キットで、5本の完全なiOSエクスプロイトチェーンと合計23件のエクスプロイトを含んでいました。Googleは2025年を通じて、このキットが監視ベンダーの顧客による標的型運用、ロシア系スパイ活動、さらに中国発の金銭目的攻撃へと広がっていく過程を追跡しており、二次流通したゼロデイや高度な攻撃手法が複数の攻撃者に再利用される実態を示したと評価しています。

Googleの説明では、Corunaは端末をフィンガープリントして機種やiOSバージョンを見分け、適切なWebKitのリモートコード実行エクスプロイトを読み込む設計です。最終的にはroot権限で動く powerd デーモンへペイロードを注入し得る構成で、最新iOSには有効ではなく、ユーザーには最新版への更新と、更新できない場合のLockdown Mode有効化を推奨しています。

今回KEVに追加された3件

今回KEVに追加された3件のうち、CVE-2023-41974はiOSとiPadOSのuse-after-free脆弱性で、アプリがカーネル権限で任意コードを実行できる可能性があるとCISAは説明しています。

CVE-2021-30952はtvOS、macOS、Safari、iPadOS、watchOSに影響する整数オーバーフロー系の問題で、悪意あるWebコンテンツ処理を通じた任意コード実行につながり得ます。

CVE-2023-43000はmacOS、iOS、iPadOS、Safari 16.6に影響するuse-after-free脆弱性で、悪意あるWebコンテンツによりメモリ破壊へ至る可能性があります。

ここで重要なのは、3件のうち2件がiPhoneだけの問題ではないことです。特にCVE-2021-30952とCVE-2023-43000は、SafariやmacOS、iPadOSなど複数製品にまたがるため、企業内でiPhoneだけを棚卸しして終わると見落としが出ます。モバイル管理だけでなく、Apple端末全体の更新統制として扱う必要があります。

情シス部門が取るべき対応

実務では、まずApple端末の棚卸しをiPhoneだけでなくiPad、Mac、Safari利用端末まで含めてやり直すべきです。Corunaの有効範囲としてGoogleが挙げたのはiOS 13.0から17.2.1までで、最新版では無効とされています。つまり、古い業務端末、BYOD、検証機、MDM管理外端末が最大の取りこぼしポイントになります。