史上もっとも巧妙な攻撃
ある日、突然政府や巨大組織から個人情報が狙われるーそんなサスペンス映画のような事件が現実のものとなった。ターゲットとなったのはアラブ首長国連邦(UAE)の著名な人権活動家アハメド・マンスール氏だ。8月10日と11日に不審なテキストメッセージを受信したアハメド氏は、過去にもスパイウェア被害に遭った経験があったため、そのリンクをクリックせずにカナダ・トロント大学のセキュリティ研究所「シチズン・ラボ」に通報した。
13日にシチズン・ラボはモバイルセキュリティ企業のルックアウトと共同調査を開始、問題のリンクを解析すると未知の脆弱性を連鎖的に発生させるスクリプトであることが判明した。同社ではこの3つのゼロデイ脆弱性を「トライデント」と命名、そしてこの攻撃によってインストールされるマルウェアがイスラエルのNSOグループが製造する「ペガサス」であることを突き止めた。15日にはアップルに通知を行い、そのわずか10日後には脆弱性を修正するiOSアップデートが実施された。共通の脆弱性がOS Xにもあったので、こちらも9月2日にセキュリティ・アップデートが配布された。
アップルが迅速な対応を取ったのにはワケがある。それは、このペガサスが「史上もっとも巧妙な攻撃ツール」であったからだとルックアウト・ジャパンの石谷匡弘氏は語る。
ルックアウト・ジャパンの石谷匡弘氏。氏によると、対策はiOSおよびOS Xを最新版にしておくこと。ただし、感染済みの場合はアップデートも無効のためルックアウトアプリでの検査が必要となる。自力の駆除は困難なので、感染が判明した場合は同社に連絡を、とのこと。
サイバー兵器メーカーの関与
スパイウェアに分類されるペガサスに感染すると、iPhoneで何が起こるのだろうか。下図のような手順で遠隔で脱獄(ジェイルブレイク)された端末は、iOS標準アプリの電話、メール、SMS、カレンダー、位置情報、キーチェーンパスワードをはじめ、Gメール、フェイスブック、LINEなどのアプリの情報をC&C(コマンド&コントロール)サーバに送信する。さらに、GPSやカメラなどiPhoneのセンサ情報も横取りされてしまう。iOS自体が書き換えられてしまっているため、一般的なセキュリティ機構は無力化されるのである。
さらに巧妙なのはここからだ。ペガサスを使った攻撃者が指令を出すC&Cサーバを防御側がシャットダウンできたとしても、すぐにグーグル二段階認証を装ったメッセージを送付し、ワンタップで新たなC&Cサーバに切り替わる。また、ペガサスにはマルウェア感染を疑われないための偽装機能があり、バッテリ消費量を制御したりデータ通信量や転送のタイミングなども細かく制御してユーザに不審な挙動を感じ取らせないことがわかっている。
マルウェアとしては例のないほど完成度の高いペガサスは、驚くことに前述のNSOグループから8億円程度で「正規」販売されている。
「非常に高価格なことから顧客となるのは特定の国民を監視したい政府機関や産業スパイを行う大企業であることが想定されます。一般のソフトウェア企業と同じように活動しているだけでなく、カスタマーサポートまで行っています」
攻撃ツールを悪びれる様子もなく販売する行為は企業倫理的に常軌を逸するが、「ツールは使う側の問題」という兵器メーカーの論理で営業しているのではないかと石谷氏。
さらなる被害拡大の懸念
だが、脆弱性として認識され対策が打たれたことで、ペガサスは8億円のツールとしての価値が失われた。また、高額なコストのかかる標的型攻撃のため、活動家やジャーナリスト以外が狙われるケースは少なく、不特定多数を対象としたマルウェアより被害数は限られるのも事実だ。
では一件落着なのかというと、話はそう単純ではない。今回明らかになったペガサスの攻撃手法を参考として新たなマルウェアの亜種がアンダーグラウンドマーケットで流通する危険性が懸念されている。アップルユーザとしてできることは不審なURLをクリックしないようリテラシーを高めたり、常に最新のアップデートを実施してこのような脅威に立ち向かっていくほかない。
ペガサス侵入までの流れ
(1)「メッセージ」などで攻撃対象者を悪意あるURLに誘導し、WebKitの脆弱性を突いてメモリコラプション(破壊)を発生させカーネル情報にアクセスする。続けて端末に合わせたジャバスクリプトが実行される。一瞬サファリが強制終了する以外は不審な挙動は起こらない。
↓
(2)カーネルの脆弱性を突いて、利用者に気付かせることなくリモートジェイルブレイク(JailBreak)を実行。ルート権限を奪取し、不正なコードを実行可能とする。この脆弱性はiOSとOS Xに共通していた。
↓
(3)標準ライブラリの書き換え、デーモン、スパイ用アプリの配置によって、主要なアプリの情報が搾取される。ホワイトリスト保護や暗号化、サンドボックスなどのセキュリティは無効となり、外部サーバへ情報が送信される。
イラスト●Madebyoliver