市販のスパイウェア「FinSpy」

2019年7月19日

FinSpyは、以前からその存在を知られた、合法的に販売されてきたスパイウェアです。当社では過去1年にわたり、このスパイウェアを数多くのモバイルデバイス上で検知してきました。

FinSpyは何をするのか

このスパイウェアにはデスクトップ版もありますが(Windows向け、macOS向け、Linux向け)、最も危険なのはモバイルデバイス版です。FinSpyはiOSとAndroidにインストール可能で、どちらのプラットフォームでもほぼ同様に機能します。攻撃者はFinSpyを通じ、感染したデバイスのデータをほぼ完全に掌握することができます。

FinSpyは標的ごとに個別に設定可能で、デバイスの所有者に関する詳細な情報(連絡先、通話記録、位置情報、メッセージ、予定表など)を攻撃の首謀者へ渡します。

それだけではありません。FinSpyは、音声やVoIP通話の録音のほか、インスタントメッセージの傍受も可能です。数多くのメッセンジャーアプリ(WhatsApp、WeChat、Viber、Skype、LINE、Telegram、Signal、Threemaなど)が標的となっており、メッセージを傍受するだけでなく、メッセンジャーアプリ内で送受信したファイルや、グループや連絡先に関するデータも抜き取ります。FinSpyの詳細は、Securelist(英語記事)をご覧ください。

FinSpyの感染

FinSpyの感染は、一般的なマルウェア感染と同様に、悪意あるメールかショートメッセージにあるリンクをクリックすることから始まるケースがほとんどです。

Androidデバイスの場合は従来からリスクの高い状態にありますが、デバイスがroot化されていると、マルウェアが活動しやすくなります。デバイスの利用者自身がroot権限を持っていなくても、root化アプリがスマートフォンにインストールされていると(何らかのアプリをインストールするためにスーパーユーザー権限が必要な場合など)、FinSpyはこのアプリを悪用してroot権限を入手します。スマートフォンがroot化されておらず、root化アプリがインストールされていない場合には、脆弱性「DirtyCow」を悪用するエクスプロイトを使用してroot権限を得ることが可能です。

Appleデバイスの場合は、感染のハードルが若干上がります。感染するには、システムが「ジェイルブレイク(脱獄)」(Androidデバイスの「root化」に相当)の状態になっている必要があります。ジェイルブレイク済みのiPhoneやiPadは、Androidデバイス同様に感染の可能性があります。ジェイルブレイクされていない場合、攻撃者はデバイスに物理的にアクセスして、手動でジェイルブレイクした上でFinSpyをインストールしなければなりません。

FinSpyから身を守るには

FinSpyやFinSpyに似たタイプのスパイウェアに感染しないためには、以下の基本を押さえておきましょう。

  • メール、インスタントメッセージ、ショートメッセージで送られてきた疑わしいリンクは、クリックしない。
  • 重要なデータにアクセスするデバイスは、root化(Androidの場合)またはジェイルブレイク(iOSの場合)しない。
  • このような脅威を検知可能な、信頼できるセキュリティ製品を使用する。ただし、iOS向けのアンチウイルスアプリというものは存在しない点にご留意ください(その理由はこちらをどうぞ)。