自分のスマホがNSOのPegasusスパイウェアにやられたか知りたい人はこのツールを使おう

米国時間7月17日、国際的なニュース配信コンソーシアムが、メキシコやモロッコ、アラブ首長国連邦などの独裁的政府が、NSO Groupが開発したスパイウェアを使って、ジャーナリストや活動家、政治家、企業の役員など、強硬な批判勢力に対してハッキング行為を行ったと報じた。

監視対象になったと思われる5万人の電話番号を、パリの非営利ジャーナリズム団体Forbidden StoriesAmnesty International(アムネスティインターナショナル)が入手し、Washington PostThe Guardianなどと共有した。被害者の電話機数十台を分析した結果、それらがNSOのスパイウェアPegassusに侵されたことがわかった。そのスパイウェアは個人の電話機のすべてのデータにアクセスできる。報道は、NSO Groupが堅固にガードしている政府顧客についても明らかにしている。たとえばEUの一員であるHungaryは、基本的人権の一部として監視からのプライバシーの保護があるはずだが、NSOの顧客として名を連ねている。

報道は、NSOのデバイスレベルの侵入的な監視の対象になった者の人数を初めて明かしている。これまでの報道は、被害者の数を数百名または1000名以上としていた。

関連記事:45カ国と契約を結ぶNSOのスパイウェアによるハッキングと現実世界における暴力の関連性がマッピングで明らかに

NSO Groupは、これらの報道に厳しく反論している。NSOは長年、顧客のターゲットが誰であるかも知らないと述べていた。米国時間7月19日のTechCrunch宛の声明でも、同じことを繰り返している。

アムネスティの調査は、その結果をトロント大学のCitizen Labがレビューしている。その発見によると、NSOは被害者にリンクを送り、それを開けば電話機に感染する。またiPhoneのソフトウェアの脆弱性を悪用して無言で侵入する「ゼロクリック攻撃」というものもある。Citizen LabのBill Marczak(ビル・マルザック)氏によると、NSOのゼロクリックが悪さをするのは、iOSの最新バージョンであるiOS 14.6の上だという。

アムネスティの研究者たちは、詳細な調査報告とともに、電話機がPegasusuのターゲットにされたかを調べるツールキットを発表した。

そのMobile Verification Toolkit(MVT)とよばれるツールキットは、iPhoneとAndroidの両方で使えるが、動作はやや異なる。アムネスティによると、侵入の痕跡が見つかるのはiPhoneの方がAndroidより多いため、発見もiPhoneの方が容易になっている。MVTはまずユーザーにiPhone全体のバックアップ(ジェイルブレイクしている場合には完全なシステムダンプ)を取らせ、NSOがPegasusを送り込むために使っていることがあらかじめわかっている、侵犯の痕跡情報(indicators of compromise、IOCs)をフィードする。例えばテキストメッセージやメールでNSOのインフラストラクチャのドメインネームを送ることもある。iPhoneの暗号化バックアップがあるなら、全体の新しいコピーを作らなくてもMVTにそのバックアップを解読させてもよい。

MVTのツールキットの端末出力。iPhoneとAndroidのバックアップファイルをスキャンして侵入のIOCを探す(画像クレジット:TechCrunch)

ツールキットはコマンドラインなので、洗練されたUXではないし、端末の使い方の知識が多少必要だ。10分ほど使ってみたが、iPhoneのフレッシュなバックアップを作るつもりならさらに1時間はかかるだろう。そのツールキットに電話機をスキャンさせてPegasusの兆候を見つけるつもりなら、GitHubにあるアムネスティのIOCsをフィードする。IOCファイルがアップデートされたら、ダウンロードしてアップデート版を使おう。

作業を始めたら、ツールキットはあなたのiPhoneのバックアップファイルをスキャンして、侵入の証拠を探す。その処理に1〜2分かかり、その後、フォルダに吐き出す複数のファイルが、スキャンの結果だ。ツールキットが侵犯の可能性を見つけたら、出力ファイルがそういっている。私の場合は「detection」が1つあったが、それは偽陽性だったので、アムネスティの研究者たちにひと言告げてからIOCsから削除した。アップデートしたIOCsで再スキャンすると、侵入の兆候は返されなかった。

Androidの汚染を見つけるのは難しいため、MVTはもっと簡単な方法として、Androidデバイスのバックアップ中にリンクのテキストを探す。それがNSOのドメインだったら怪しい。また、デバイス上に悪質なアプリケーションがインストールされていないかも、スキャンして調べる。

このツールキットは、コマンドラインツールの常として、使い方は簡単だが、オープンソースなのでいずれ誰かがユーザーインタフェイスを作るだろう。プロジェクトの詳しいドキュメンテーションがあるので、私だけでなく多くの人が助かると思う。

チップスを安全に送りたい人はSignalやWhatsAppで+1 646-755-8849まで。ファイルやドキュメントは、SecureDropで送ることができる。詳しくはここで

関連記事
MicrosoftやGoogle、CiscoなどがWhatsAppスパイウェア訴訟でイスラエルのNSOに抗議
ジャーナリスト36人以上のiPhoneが「ゼロクリック」スパイウェアにハックされていたことが発覚

カテゴリー:セキュリティ
タグ:スパイウェアNSO Groupハッキング人権個人情報プライバシーiPhoneAndroidスマートフォン

画像クレジット:TechCrunch/PhotoMosh

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。