GoogleとLookoutの研究者らは、このマルウェアがイタリア、カザフスタン、シリアの人々を標的にして使用されていたことを発見した。
写真:MirageC/Getty Images
WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
今週の公聴会で、悪名高いスパイウェアベンダーNSOグループは、少なくとも5つのEU加盟国が同社の強力な監視マルウェア「ペガサス」を使用していると欧州議会議員に報告しました。しかし、NSO製品が世界中で悪用されている実態がますます明らかになるにつれ、研究者たちは、監視サービス提供業者が1社だけにとどまらないという認識を高める活動も行っています。木曜日には、Googleの脅威分析グループとProject Zeroの脆弱性分析チームが、イタリアの開発会社RCS Labsが開発したとされるスパイウェア製品のiOS版に関する調査結果を発表しました。
Googleの研究者らは、イタリアとカザフスタンでAndroidとiOSの両方のデバイスでこのスパイウェアの被害者を発見したと発表しました。先週、セキュリティ企業Lookoutは、このスパイウェアのAndroid版に関する調査結果を発表しました。同社はこのスパイウェアを「Hermit」と名付け、RCS Labsが作成したものとしています。Lookoutによると、イタリア当局は2019年の汚職捜査でこのスパイウェアのバージョンを使用していました。Lookoutは、イタリアとカザフスタンの被害者に加え、正体不明の組織がシリア北東部を標的としてこのスパイウェアを使用したことを示すデータも発見しました。
「Googleは長年にわたり商用スパイウェアベンダーの活動を追跡してきましたが、その間に業界が数社のベンダーからエコシステム全体へと急速に拡大していく様子を目の当たりにしてきました」と、TAGのセキュリティエンジニアであるクレメント・ルシーニュ氏はWIREDに語った。「これらのベンダーは危険なハッキングツールの拡散を助長し、自社でこれらの機能を開発できない政府に武器を与えています。しかし、この業界の透明性はほとんど、あるいは全くありません。だからこそ、これらのベンダーとその能力に関する情報を共有することが極めて重要なのです。」
TAGは現在、政府支援の顧客に対してさまざまな技術的機能と高度なレベルのサービスを提供する30社以上のスパイウェア製造業者を追跡していると述べている。
Googleの研究者はiOS版の分析で、攻撃者が国際的な携帯電話事業者My Vodafoneアプリを模倣した偽アプリを使ってiOSスパイウェアを配布していたことを発見しました。AndroidとiOSの両方の攻撃において、攻撃者は被害者がクリックする悪意のあるリンクを配布することで、メッセージングアプリに見せかけたアプリをダウンロードさせるだけの単純な手口だった可能性があります。しかし、iOSを標的とした特に深刻な事例では、攻撃者が地元のISPと連携し、特定のユーザーのモバイルデータ接続を遮断し、SMSで悪意のあるダウンロードリンクを送信し、携帯電話サービスを復旧させると約束して、Wi-Fi経由で偽のMy Vodafoneアプリをインストールさせようとしていた可能性があることをGoogleは発見しました。
攻撃者が悪意のあるアプリを配布できたのは、RCS Labs が 3-1 Mobile SRL というダミー会社を通じて Apple のエンタープライズ開発者プログラムに登録し、Apple の一般的な AppStore レビュー プロセスを経ずにアプリをサイドロードできる証明書を取得していたためだ。
AppleはWIREDに対し、スパイウェア攻撃に関連した既知のアカウントと証明書はすべて失効したと語った。
「エンタープライズ証明書は企業内での使用のみを目的としており、App StoreやiOSの保護を回避するために使用される可能性があるため、一般的なアプリ配布には適していません」と、同社はサイドローディングに関する10月のレポートで述べています。「このプログラムは厳格な管理体制と限定的な規模を備えているにもかかわらず、悪意のある人物は、例えばブラックマーケットでエンタープライズ証明書を購入するなど、不正にアクセスする方法を見つけています。」
Project Zeroのメンバーであるイアン・ビア氏は、RCS LabsのiOSマルウェアで使用されたエクスプロイトの技術分析を実施しました。ビア氏によると、このスパイウェアは合計6つのエクスプロイトを用いてアクセスし、被害者のデバイスを監視しているとのことです。そのうち5つは既知のもので、古いiOSバージョン向けの公開されているエクスプロイトですが、6つ目のエクスプロイトは発見当時は未知の脆弱性でした(Appleはこの脆弱性を12月に修正しました)。このエクスプロイトは、Apple、そして業界全体がオールインワンの「システムオンチップ」設計へと移行する中で、Appleの新世代「コプロセッサ」におけるデータフローの構造的変化を悪用していました。
このエクスプロイトの高度さは前例がないわけではないが、Google の研究者は、RCS Labs のスパイウェアは、監視サービス業界が既存のハッキング技術やエクスプロイトと新しい要素を組み合わせて優位に立とうとする広範な傾向を反映していると指摘している。
「商用監視業界は、ジェイルブレイク・コミュニティの研究成果から恩恵を受け、それを再利用しています。今回のケースでは、6つのエクスプロイトのうち3つは、公開されているジェイルブレイク・エクスプロイトからのものでした」と、TAGメンバーのブノワ・セブンズ氏は述べています。「他の監視ベンダーも、サイバー犯罪グループが最初に使用・発見した手法や感染ベクトルを再利用しています。そして、他の攻撃者と同様に、監視ベンダーは高度なエクスプロイトを使用するだけでなく、ソーシャルエンジニアリング攻撃を用いて被害者を誘い込んでいます。」
調査によると、すべての業者がNSOグループのような企業ほど成功していたり有名だったりするわけではないものの、急成長中の業界で多くの中小規模の業者が協力して、世界中のインターネットユーザーに実際のリスクをもたらしていることがわかりました。
