もしサウジアラビアがジェフ・ベゾスをハッキングしたとしたら、おそらくこうなるだろう

世界一の富豪は失うものがたくさんあるにもかかわらず、他の人と同じように騙される可能性があるようだ。水曜日の夜、アマゾンCEOジェフ・ベゾスのiPhone Xがサウジアラビアの諜報機関の標的になった可能性があることが明らかになった。

ガーディアン紙の報道によると、ベゾス氏の携帯電話はWhatsApp経由でスパイウェアを仕込んだ動画ファイルを送りつけられ、不正アクセスされたという。動画のカバー画像には、サウジアラビアの国旗とスウェーデンの国旗が画面に分割された画像が使われていた。

最も衝撃的な主張は？ 侵害されたメッセージは、サウジアラビアのムハンマド・ビン・サルマン皇太子（通称MBS）の個人WhatsAppアカウントから送信されたものでした。この事件は2018年5月1日に発生し、ベゾス氏とMBSが電話番号を共有した後に発生しました。FTIコンサルティングのフォレンジックアナリストは、携帯電話が感染すると、攻撃者はデバイスから「大量の」データを抜き出し、2019年初頭までアクセス可能だったと結論付けました。

数か月後の2019年2月、米国のタブロイド紙「ナショナル・エンクワイラー」は、ベゾス氏の携帯電話から入手されたとされるメッセージと私的な写真を掲載した。ガーディアン紙の報道では、ベゾス氏の携帯電話から具体的にどのようなデータが盗まれたのかは明らかにされていない。しかし、ベゾス氏が雇っている私立探偵のギャビン・デ・ベッカー氏は以前、「サウジアラビアはベゾス氏の携帯電話にアクセスできた」と主張していた。

サウジアラビア当局は、ハッキングへの関与を一貫して否定している。「サウジアラビアはこのような違法行為を行っておらず、また容認もしていない」と報道官は述べている。報道官は、サウジアラビアがハッキングの責任を負っていないことを証明できるよう、主張を裏付ける証拠の提出を求めている。

しかし、この国がスパイウェアを使って人々の携帯電話に侵入したとして非難されるのは今回が初めてではない。イスラエルのセキュリティ企業NSOグループの技術を使ってデバイスに侵入し、個人情報を入手したという報道もある。「ペガサス」と呼ばれるこのスパイウェアは、世界中の政府や法執行機関に販売されており、デバイスの脆弱性を悪用してデータを収集できると主張されている。NSOは世界中で複数の訴訟に直面している。同社は声明の中で、自社の技術は「今回の件では使用されていない」と述べた。

FTIコンサルティングの調査を受けて、国連の報告者2名が、ベゾス氏の携帯電話から情報がどのように取得されたかについての分析を発表しました。「専門家は、異常なデータ流出の原因として最も可能性が高いのは、NSOグループのPegasus、あるいは可能性は低いもののHacking TeamのGalileoといったモバイルスパイウェアの使用だと指摘しています。これらのスパイウェアは、正規のアプリケーションに侵入して検出を回避し、活動を難読化することができます。」

国連の報告書によると、動画が彼の携帯電話に送信されてから数時間後、同端末から送信されるデータ量は29,156%増加した。その後数ヶ月で、この増加率は動画送信前と比べて106,031,045%にまで達した。国連代表団は徹底的な調査を求めた。

しかし、NSOは、自社の技術がベゾス氏に対して使用されたことはないと主張している。広報担当者は、「当社のソフトウェアの仕組み上、米国の電話番号では当社の技術を使用できないため、当社はこれを認識している」と述べている。同社のウェブサイトに掲載された声明では、ハッキング疑惑に「衝撃を受け、愕然としている」と述べ、真実を明らかにするためのあらゆる調査を支持するとしている。NSOグループの技術と今回の攻撃を具体的に結びつける公的な証拠はなく、サイバーセキュリティ専門家は、FTIの報告書はイスラエル企業に責任を負わせるものではないと指摘している（ViceはFTIの報告書全文を公開している）。

サウジアラビアは以前、NSOグループとそのスパイウェアツールとの密接な関係を非難されてきました。2018年12月、サウジアラビアの反体制派オマル・アブドゥルアズィーズ氏がイスラエルで提訴した訴訟では、NSOの技術が殺害されたジャーナリスト、ジャマル・カショギ氏へのスパイ活動に使用されたと主張されています。さらに、アムネスティ・インターナショナルは、人権活動家がペガサスの標的となっていたことを受け、NSOの技術輸出を差し止めるため、NSOを提訴しています。

サウジアラビアの上級顧問、サウド・アル＝カハタニ氏がNSOグループにメッセージを送ったと報じられ、同社の技術を世界中の反体制派を追跡するためにどのように活用する計画かが話し合われていた。FTIコンサルティングが作成した分析によると、「ベゾス氏の携帯電話はサウド・アル＝カハタニ氏が調達したツールを通じて侵入された」とみられる。

では、ペガサスは具体的にどのように機能するのだろうか？「ペガサスは非常に高度なスパイウェアで、実行すると何が起こったのか全く分からないでしょう」と、ESETのサイバーセキュリティ専門家、ジェイク・ムーア氏は述べている。ペガサスは他の場所で非常に標的を絞って使用されており、大規模な集団攻撃というよりは、個人を危険にさらすツールとなっている。「ベゾス氏はメッセージ内のファイルを無意識のうちにクリックした可能性もあるが、何かを送信する際は常に細心の注意を払うべきだ」とムーア氏は述べている。NSOグループに対する最も大規模な訴訟は、WhatsAppを所有するFacebookによるものだ。同社は、自社の技術は「人権活動家やジャーナリストに対する攻撃を目的として設計またはライセンス供与されていない」として、あらゆる訴訟に異議を唱えている。

Facebookは、NSOが1,400人の携帯電話をハッキングし、監視を行っていたと非難している。訴状によると、「被告らはWhatsAppアプリをリバースエンジニアリングし、正規のWhatsAppネットワークトラフィックをエミュレートするプログラムを開発した。これにより、検知されずに悪意のあるコードをWhatsAppサーバー経由で標的のデバイスに送信した」という。（NSOはこれらの主張を否定している。）

カスペルスキーのセキュリティ専門家、アレクセイ・ファーシュ氏は、ベゾス氏のケースでは、現在修正済みのWhatsAppの脆弱性が悪用された可能性が高いと述べています。「公開されている情報源から得られたごくわずかな技術的詳細に基づくと、被害者が追加的な操作を行うことなく、WhatsAppの不正なチャットメッセージによって電話が悪用されたと考えられます」とファーシュ氏は言います。「この状況は、著名な脅威アクターによって悪用される可能性のある、悪名高いWhatsAppの脆弱性2つと一致しています。」

脆弱性の1つはAndroid端末にのみ存在していましたが、CVE-2019-3568はベゾス氏が所有していたiPhoneでも悪用される可能性があります。「これらの脆弱性を悪用するには、攻撃者はメッセージを送信するだけで、受信した端末にアクセスできるようになります」とファーシュ氏は述べています。「シナリオは単純です。攻撃者が端末にメッセージを送信すれば、ユーザーは何も操作する必要はなく、犯罪者は端末にアクセスできるようになります。」

カナダの非営利調査機関Citizen Labは、サウジアラビアを含む45カ国でPegasusの使用状況を追跡したと発表した。デバイスにインストールされると、このスパイウェアはデバイスに保存されているほぼすべての情報にアクセスできると言われている。ファイル、写真、インスタントメッセージ、閲覧履歴、位置情報追跡、ソーシャルネットワークなど、あらゆる機密情報が盗まれる可能性がある。

「ペガサスがインストールされると、攻撃者のコマンド＆コントロールサーバーに接続し、攻撃者のコマンドを受信・実行し、標的の個人データを送り返す」とシチズン・ラボの研究者は述べている。コマンド＆コントロールサーバーとは、攻撃者が制御するコンピューターで、侵入したデバイスからコマンドを送受信するために利用される。つまり、ユーザーに知られることなくデバイスを遠隔操作する手段となる。

シチズン・ラボの研究者たちは、NSOがソーシャルエンジニアリングを用いて人々を騙し、リンクや偽のパッケージ通知をクリックさせようとする事例を数十回も確認したと述べています。「今回の事例は、商用スパイウェアの蔓延が、政府や企業から市民社会に至るまで、あらゆるセクターにとって世界的なセキュリティ問題であることを改めて認識させてくれます」と、シチズン・ラボのディレクター、ロナルド・デイバート氏は述べています。

Pegasusスパイウェアの侵入方法は全て発見されているわけではないようです。FTIコンサルティングの研究者による報告書では、ベゾス氏のiPhoneにマルウェアは発見されませんでしたが、このソフトウェアは自身を偽装し、フォレンジック分析から逃れることができると考えられています。

「私たちが確認したサンプルから判断すると、このマルウェアは高度なコード難読化技術を用いて、素人の目からその活動を隠蔽しています」とカスペルスキーのファーシュ氏は述べている。「さらに重要なのは、このマルウェアは開発者によって継続的にメンテナンスとアップデートが行われており、最新のOS機能に対応し、セキュリティソリューションによる検出を回避する努力が払われている点です。」

この記事はWIRED UKで最初に公開されました。