iPhoneメーカーは、150カ国以上でスパイウェア攻撃を検出しました。デバイスが感染しているかどうかを見分けるのは難しい場合がありますが、身を守るために実行できる対策がいくつかあります。
写真:Qi Yang/Getty Images
WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
4月、Appleは92カ国のiPhoneユーザーに対し、スパイウェアの標的となっていることを警告する通知を送付した。通知には、「Appleは、お客様のApple IDに関連付けられたiPhoneを遠隔操作で侵害しようとする、傭兵スパイウェア攻撃の標的となっていることを検出しました」と記載されている。
ユーザーはすぐにXなどのソーシャルメディアサイトにアクセスし、通知の意味を解明しようと試みました。対象となったユーザーの多くはインド在住でしたが、ヨーロッパ在住のユーザーもAppleからの警告を受け取ったと報告しています。
数週間が経過した現在も、最新のiPhone攻撃についてはほとんど何も分かっていない。かつてスマートフォン大手だったBlackberryは、現在セキュリティ企業となっているが、これらの攻撃は「LightSpy」と呼ばれる中国のスパイウェア攻撃に関連していると示唆する調査結果を発表した。しかし、Appleの広報担当者シェーン・バウアー氏はこの見解を誤りだと述べている。また、セキュリティ企業Huntressの研究者らは、Blackberryが分析した亜種はiOSではなくmacOS版だったと述べている。
Appleがこの種の通知を発したのは4月が初めてではない。世界中の著名人を狙ったスパイウェアが続いているため、同社は2021年以降、150カ国以上のユーザーに警告を発している。
スパイウェアは国家レベルの敵対勢力によって武器化される可能性がありますが、これは比較的稀で、費用もかかります。スパイウェアの展開は通常、ジャーナリスト、反体制派、政府職員、特定分野の企業など、非常に特定のグループを標的としています。
Appleは4月のアドバイザリで、「このような攻撃は、通常のサイバー犯罪活動や消費者向けマルウェアよりもはるかに複雑です。傭兵スパイウェア攻撃者は、非常に少数の特定の個人とそのデバイスを標的にするために、膨大なリソースを投入するからです」と述べています。「傭兵スパイウェア攻撃は数百万ドルの費用がかかり、効果の持続期間が短い場合が多いため、検知と防御がはるかに困難です。大多数のユーザーがこのような攻撃の標的になることはありません。」
さらに、Appleはロックダウンモード機能が攻撃から効果的に保護できると述べている。「以前にも申し上げたように、ロックダウンモードを使用しているユーザーが傭兵スパイウェアによる攻撃を受けたという報告は受けていません」とバウアー氏は述べている。しかし、標的にされ、不意を突かれた人にとって、スパイウェアは非常に危険である。
ゼロクリック攻撃
スパイウェアは、攻撃者にスマートフォンのマイクへのアクセスを許可し、WhatsAppやSignalなどの暗号化されたアプリ上のメッセージを含む、ユーザーが書き込んだすべての内容を閲覧することを可能にします。また、位置情報の追跡、パスワードの収集、アプリからの情報収集なども可能になります。
かつてスパイウェアはフィッシング詐欺によって拡散され、被害者はリンクをクリックしたり画像をダウンロードしたりする必要があった。今日では、iMessageやWhatsAppの画像を介して、いわゆる「ゼロクリック攻撃」によってスパイウェアが拡散され、デバイスに自動的にスパイウェアが埋め込まれる可能性がある。
2021年、GoogleのProject Zeroの研究者たちは、iMessageをベースとしたゼロクリックエクスプロイトがサウジアラビアの活動家を標的とした攻撃にどのように利用されたかを詳細に報告した。「デバイスを使用しない以外に、ゼロクリックエクスプロイトによる攻撃を防ぐ方法はない。これは防御策のない武器だ」と研究者たちは警告した。
iMessage を介したゼロクリック攻撃を利用したスパイウェア感染チェーンは、昨年セキュリティ企業カスペルスキーが Operation Triangulation 調査の一環として実証した。
必要なのは、被害者がゼロクリックエクスプロイトを含む添付ファイル付きのiMessageを受信することだけです。「それ以上の操作をすることなく、メッセージは脆弱性を突いてコード実行を引き起こし、権限昇格と感染デバイスの完全な制御を可能にします」と、カスペルスキーのグローバル調査分析チームの主任セキュリティ研究者、ボリス・ラリン氏は述べています。
攻撃者がデバイス上で自分の存在を確立すると、メッセージは自動的に削除されると彼は言う。
ペガサスの台頭
最も有名で有名なスパイウェアは、イスラエルの企業 NSO グループが iOS および Android ソフトウェアの脆弱性を狙って作成した Pegasus です。
スパイウェアが存在するのは、NSOグループのようなベンダーの存在があるからです。彼らは、政府機関にエクスプロイトを販売しているのは犯罪者やテロリストを追跡するためだけだと主張しています。「欧米の政府を含むすべての顧客は、これらの脆弱性を開示しないことに同意しています」と、トレンドマイクロのサイバーセキュリティアドバイザー、リチャード・ワーナー氏は述べています。
NSOグループの主張にもかかわらず、スパイウェアはジャーナリスト、反体制派、抗議活動家を標的にし続けています。サウジアラビアのジャーナリストで反体制派のジャマル・カショギ氏の妻、ハナン・エラトル氏は、死去前にペガサスの標的にされていたとされています。2021年、ニューヨーク・タイムズの記者ベン・ハバード氏は、自分の携帯電話がペガサスによって2度も標的にされていたことを知りました。
ペガサスは、モロッコで投獄され、拷問を受けたとされる政治活動家ナアマ・アスファリの妻、クロード・マニャンのiPhoneに密かに埋め込まれていた。ペガサスは、タイの民主化デモ参加者、ロシア人ジャーナリストのガリーナ・ティムチェンコ、そして英国政府関係者を標的とした攻撃にも利用されている。
2021年、AppleはNSOグループとその親会社に対し、「Appleユーザーの監視と標的化」の責任を問う訴訟を起こした。
この訴訟は現在も継続中で、NSOグループは訴訟の取り下げを試みているが、専門家らは、スパイウェアベンダーが活動を続ける限り、この問題は解決しないと指摘している。
セキュリティ企業マルウェアバイツの上級プライバシー擁護者デビッド・ルイス氏は、「スパイウェアの背後にいる強迫観念的で抑圧的な運営者が、社会への危険を増大させている」と非難している。
スパイウェアの流出
スパイウェアの標的になっているかもしれないと思ったら、できる対策は限られています。まず、Appleのロックダウンモードを有効にしましょう。一部の機能は無効になりますが、意外と使える機能で、iPhoneがそもそも感染するのを防ぐことができます。次に、デバイスがすでに感染していると思われる場合は、Access Nowのデジタルセキュリティヘルプラインやアムネスティ・インターナショナルのセキュリティラボなど、スパイウェアの削除を支援するヘルプラインを利用できます。
スパイウェアの検出は非常に困難であり、Pegasusのような高度なスパイウェアの場合、自力で感染を発見することはほぼ不可能です。セキュリティトレーニング組織KnowBe4のリードセキュリティ意識啓発活動家であるジャヴァド・マリク氏によると、バッテリーの急激な消耗、予期せぬシャットダウン、データ使用量の増加など、異常な動作を引き起こす、それほど高度ではないタイプのスパイウェアも感染の兆候となる可能性があります。特定のアプリはスパイウェアを検出できると主張していますが、その効果は様々であり、確実に検出するには専門家の支援が必要になる場合が多いとマリク氏は言います。
Pixel Privacyの消費者プライバシー擁護者、クリス・ハウク氏も、バッテリーの消耗はデバイスに未熟なスパイウェアが潜んでいることを示す強力な指標であることに同意しています。「ほとんどのスパイウェアは効率的に動作するように開発されていません」と彼は言います。
しかし、Pegasusのような高度な傭兵スパイウェアの場合、バッテリーの消耗、突然のシャットダウン、データ使用量の問題といった明白な兆候は実証されていないと、Appleのバウアー氏は述べている。「これらの症状は、ユーザーのデバイス上で気付かれずに潜伏することに長けている、高度に標的を絞った傭兵スパイウェアよりも、一般的なAndroidスパイウェアに多く見られるものです」と彼は述べている。
低レベルのスパイウェアの標的になっている可能性があると思われる場合は、インストールされていないアプリ、ブラウザの乗っ取りによる強制リダイレクト、デフォルトのブラウザや検索エンジンの設定変更にも注意する必要があります。
カスペルスキーのチームは今年初め、Pegasus、Reign、Predatorといった高度なiOSスパイウェアの感染兆候を検出する手法を発表しました。カスペルスキーによると、Pegasusへの感染はiOSデバイスのsysdiagnoseアーカイブに保存される予期せぬシステムログ(Shutdown.log)に痕跡を残すため、この手法は効果的です。しかし、高度なスパイウェア感染を確実に発見するには、Access NowやAmnestyのような専門家と協力することが唯一です。また、感染の可能性があるデバイスは専門家による分析のために保管しておくのが最善です。
デバイスを保護するためのもう一つの対策は、少なくとも1日に1回は再起動することです。「これにより、攻撃者は繰り返し再感染する必要があり、時間の経過とともに検出される可能性が高まります」とラリン氏は言います。ただし、これは高度なスパイウェアがデバイスに残る可能性があるため、単純なスパイウェアにしか効果がありません。
標的になる可能性がある場合は、iMessageとFaceTimeを無効にすることで、ゼロクリック攻撃の被害に遭うリスクを軽減できます。同時に、デバイスを最新のソフトウェアに更新し、メールなどのメッセージで受信したリンクをクリックしないようにすることも重要です。これは、Cyjaxのサイバー脅威インテリジェンスアナリスト、アダム・プライス氏のアドバイスです。
「既知の脆弱性から保護するために最新のソフトウェア バージョンに更新し、多要素認証を使用し、検証済みの正当なソースからのアプリケーションのみをインストールしてください」とプライス氏は言います。
2024年5月6日午後4時15分(東部標準時)更新:AppleはWIREDに対し、「最新の脅威通知」はLightSpyによるものではないと述べ、Blackberryの最近の調査結果に異議を唱えました。また、Appleの広報担当者は、バッテリーの消耗、シャットダウン、予想外の高データ使用量がスパイウェア感染の兆候であるという主張は「根拠がない」と述べました。WIREDはさらに、iOSにおける高度に洗練されたスパイウェア感染の稀少性について、さらに詳しい情報を提供しています。
2024年5月7日午前10時30分(東部標準時)更新:高度なスパイウェアと単純スパイウェアの違い、そして感染の疑いがある場合に潜在的な標的が取るべき対策について、詳細を追加しました。また、Blackberryの研究者が特定したLightSpyスパイウェアがiOSではなくmacOSを標的としていることを示す調査結果も追加しました。
