新たな雇われスパイウェア「Predator」の政治家やジャーナリスト所有端末へのハッキングが発覚

スパイウェア集団のNSO Groupがジャーナリストや活動家、人権擁護団体などの写真をハッキングしているとして激しく非難を受けている一方で、スパイウェアメーカーや雇われ監視グループ一般は相変わらず活動を続けており、ほとんどが気づかれていない。

こうした民間監視グループらは、これまで見たことのない侵入方法を開発し流通させて、被害者の携帯電話から通話記録、テキストメッセージ、メール、位置データなどのコンテンツを密かに盗み出している。多くの場合、雇い主は口うるさい批判者を標的にする権威を振りかざす政府だ。

関連記事:アップルがiPhoneの脆弱性を悪用するスパイウェア「Pegasus」のNSO Groupを提訴

このほどCitizen Lab(シチズン・ラボ)とFacebook(フェイスブック)の新しい親会社Meta(メタ)の研究者らによる捜査の結果、7つの雇われ監視集団がソーシャルメディア巨人のプラットフォームでユーザーをターゲットすることを禁止された。

Metaは米国時間12月16日、7グループに関連づけられた1500件以上のFacebookおよびInstagram(インスタグラム)のアカウントを削除したことを発表し、それらのアカウントが、偵察、ソーシャルエンジニアリング、および100か国以上数千人におよぶ被害者に対する悪意あるリンクの送信などに使用されていたことを明らかにした。

最近の監視業界に対する注目は、主としてNSO Groupなどの企業に向けられているが、Citizen LabとMetaは、もし規制が強化されなければ、雇われ監視業界は今後ますます拡大していくだろうと警告している。「NSOは巨大な世界的サイバー傭兵エコシステムのたった1つのピースにすぎないという認識が重要です」とTechCrunchが発表前に見たMetaの調査レポートは言っていた。

追放された会社の1つ、Cytrox(サイトロクス)は北マケドニア拠点のスパイウェアメーカーだ。Metaは、この会社が正規のニュースサイトを模倣したウェブドメインの膨大なインフラストラクチャーを使用して、被害者のiPhoneとAndroid端末をターゲットしていたことを発見したと話した。Metaは、Cytroxに法的通知を送り、当該インフラストラクチャーに関連するドメイン数百か所をブロックしたと語った。

MetaがCitizen Labの調査結果に基づいて行動した。そのCitizen Labも12月16日、亡命中のエジプト人2名が所有する携帯電話に対するハッキングの調査レポートを公開した。亡命者の1人は元政治家で、もう1人は人気ニュースショーのホストで匿名を希望している。Citizen Labによると、そのスパイウェアは2021年7月に被害者らの端末に侵入した「Predator」と呼ばれるものでCytroxが開発した。

Citizen Labが最初にスパイウェアを発見したのは、エジプトの政治家Ayman Nour(アイマン・ヌール)氏のiPhoneだった。同氏は、2013年の軍事クーデター以来エジプトを支配しているAbdel Fattah el-Sisi(アブドルファッターフ・アッ=シーシー)大統領の痛烈な批判者だ。トルコに亡命中のヌール氏は、自分の携帯電話が「熱を持つ」ようになったことで疑いを持った。Citizen Labは、ヌール氏の端末がPegasusという今や悪名高いNSO Group製スパイウェアに感染していることを突き止めだ。そこから、同氏の端末が新たに発見されたスパイウェア、Predatorにも侵入されていたことの発見につながった。

ヌール氏のiPhoneも、ニュースショウ・ホストが所有していたiPhoneもiOS 14.6が動作していた。これはハッキング当時最新バージョンのiOSであることから、スパイウェアがiPhoneソフトウェアの利用されたことのない脆弱性を利用して端末に侵入したことが示唆される。Apple(アップル)の広報担当者、Scott Radcliffe(スコット・ラドクリフ)氏は、同社がその脆弱性を修正したかどうかについて言及を拒んだ。

関連記事
【コラム】今現在も「ストーカーウェア」の大流出で数千人の携帯電話データが危険に晒されている
アップルがiPhoneの脆弱性を悪用するスパイウェア「Pegasus」のNSO Groupを提訴
自分のスマホがNSOのPegasusスパイウェアにやられたか知りたい人はこのツールを使おう

PredatorはNSOのPegasusと類似した機能を備えている。Citizen Labは、ヌール氏がWhatsApp経由で有害なリンクを送られたと語った。リンクを開くと、スパイウェアは端末のカメラとマイクロホンへのアクセスが可能になり、端末のデータを密かに持ち出せるようになる。Predatorは、Pegasusとは異なり、ユーザーの介入なしに密かに端末に侵入することはできないが、粘り強さで補っている。Citizen Labによると、PredatorはiPhoneをリブートしても生き残るという。通常はリブートすることでメモリ内に潜むスパイウェアは一掃されるが、iOSに組み込まれたショートカット機能を利用した自動操作を利用することで存続する。

研究者らは「珍しいことに」ヌール氏の端末はPegasuとPredatorに同時に侵入されていたが、2つの感染は無関係である可能性が高いと言った。

「Predatorのコードのずさんなつくりから見て、私たちが対していたのが二軍チームであることは明らかです」とCitizen Labの研究員で、マルウェアのPredatorを発見、分析したBill Marczak(ビル・マークザク)氏は言った。「それでもなお、Predatorは最新の完全に更新されてた端末への侵入に成功しています。私たちはエジプトやサウジアラビアなどの抑圧的政府がPredatorの利用者であることを知っても驚きません」。

Citizen Labによると、Predatorはエジプト、サウジアラビアに加えて、アルメニア、ギリシャ、セルビア、インドネシア、マダガスカル、およびオマーンの政府顧客が利用している可能性が高く、モバイル・スパイウェアを使って批判者を標的としていることで知られている国々だ。一方Metaは、捜査の結果ベトナム、フィリピン、およびドイツでPredator顧客を発見したと語った。

CytroxのCEO Ivo Malinkovski(イヴォ・マリンコフスキー)氏からはコメントを得られていない。本稿公開前に送ったメールは不達で戻ってきた。

Metaは、雇われ監視ビジネスに関与していた他のイスラエル企業4社も削除したと語った。Cobwebs、Cognyte、Black Cube、およびBluehawkだ。さらに、インドのハッキング集団、BellTroxも、政治家や政府関係者のメールアカウント数千件をハッキングしたとして追放し、中国の警察が使用したと考えられている中国拠点スパイウェア・メーカーも禁止した。

現在NSOは、複数の訴訟ビジネス取引の制限に直面しており、その大半は市民社会の一員に対する不正や監視行為(NSOは繰り返し否定している)が理由だ。しかし、それでも拡大する監視産業全体は増殖を続けるだろう、とソーシャルメディアの巨人は警告した。

「今後も私たちは、当社のアプリを悪用する何者に対しても捜査し措置を講じていきます」とMetaの報告書に書かれている。「しかし、これらの雇われサイバー集団はさまざまなプラットフォームや国境を越えて活動しています。彼らの能力は国民国家、民間企業どちらにも利用されており、事実上金さえ払えば誰にでも簡単に使うことができます。彼らの標的にとって、インターネットを通じて監視されていることを知るのはほぼ不可能です」。

関連記事:米国がスパイウェア「Pegasus」問題でセキュリティ企業NSOグループとの取引を禁止

本稿の執筆者には、SignalまたはWhatsAppを使って+1 646-755-8849 で安全に連絡できる。TechCrunchのSecureDropを使ってファイルを文書を送ることもできる。詳細はこちら

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。