先日開催されたKasperskyのSecurity Analyst Summitにて、当社のエキスパートは、スパイウェアFinSpy(別名:FinFisher)とその配布手法について、それまで知られていなかった複数の手法を含む詳細な報告を行いました。調査結果の詳細はSecurelistの記事(英語)でご覧いただくとして、この記事では、FinSpyがどのような種類のマルウェアなのか、そしてFinSpyからどのようにして身を守ればよいのかを考察します。
FinSpy(FinFisher)とは何か
FinSpyは、世界各地の法執行機関および政府機関によって使用されている商用スパイウェアプログラムです。初めてリサーチャーの目にとまったのは2011年、FinSpyに関連する文書がWikiLeaksに公開されたときでした。2014年にはソースコードがオンライン公開されましたが、話はそこで終わりませんでした。再開発されたのち今に至るまで、このマルウェアは世界のあちこちで感染を続けています。
FinSpyは汎用性が高く、Windows向け、macOS向け、Linux向けのバージョンのほか、Androidデバイス向け、iOSデバイス向けのモバイルデバイス版もあります。機能はプラットフォームごとに異なりますが、さまざまな手段を駆使してデバイスに関する大量のデータをひそかに攻撃者へ送信する点は共通しています。
FinSpyはどのように拡散するか
FinSpyがWindowsコンピューターへ侵入する方法は、いくつかあります。
例えば、TeamViewer、VLC Media Player、WinRARといったツールのインストーラーなどの配布パッケージの中に、FinSpyが隠れている場合があります。この改変されたアプリケーションをダウンロードして実行すると、複数のステップからなる感染チェーンが開始されます(英語記事)。
さらに、当社のリサーチャーは、OSよりも先に読み込まれるコンポーネントの中にマルウェアローダーを発見しました。具体的には、UEFI(OSがハードウェアと通信するためのインターフェイス)とMBR(Windowsの起動に必要)です。いずれの場合も、コンピューターを起動するだけでFinSpyがインストールされます。
スマートフォンやタブレットの場合、テキストメッセージ内のリンクからFinSpyに感染する可能性があります。場合によっては(例えばジェイルブレイクされていないiPhoneなど)、デバイスに物理的にアクセスする必要があり、その場合は感染のハードルが多少上がります。Linuxマシンへの感染でもマシンへの物理的なアクセスが必要なようですが、詳細は判明していません。
FinSpyはどのようなデータを盗むのか
FinSpyはユーザー監視機能を豊富に備えています。例えば、デスクトップ版のFinSpyは、以下が可能です。
- マイクをオンにして、マイクが捉えた音をすべて録音して送信する。
- キーボードで入力した内容をすべてリアルタイムで記録して送信する。
- カメラをオンにして、カメラが捉えた画像を記録または送信する。
- ユーザーが何らかの操作(アクセス、変更、印刷、受信、削除など)をしたファイルを盗む。
- スクリーンショットを撮影したり、ユーザーがクリックした画面の一部をキャプチャしたりする。
- Thunderbird、Outlook、Apple Mail、Icedoveのクライアントからメールを盗む。
- Skypeの連絡先、チャット、通話、ファイルを傍受する。
Windows版のFinSpyでは、これに加えてVoIP通話の盗聴、特定のプロトコルの証明書や暗号鍵の傍受、フォレンジックデータ収集ツールのダウンロードと実行が可能です。その上、Windows版FinSpyはBlackBerry搭載のスマートフォンにも感染可能です。今では珍しい存在になったBlackBerryプラットフォームも見逃されていません。
モバイル版のFinSpyは、通話(音声通話またはVoIP)の盗聴と録音、テキストメッセージの読み取りのほか、WhatsApp、WeChat、Viber、Skype、LINE、Telegram、Signal、Threemaといったメッセンジャーアプリでのユーザーアクティビティの監視が可能です。また、標的の連絡先、通話、カレンダーの予定、位置情報などのデータ一覧を攻撃者の元へ送信します。
FinSpyを避ける方法
残念ながら、政府レベルで導入されているスパイウェアから完全に身を守るのは、簡単なことではありません。とはいえ、FinSpyなどの監視アプリに対し、以下のような予防措置を講じることはできます。
- モバイルデバイスでも、デスクトップPCでも、ノートPCでも、アプリをダウンロードする場合は必ず、信頼できる提供元からダウンロードする。Androidの場合は、これに加え、よく知らない提供元からアプリをインストールできないように設定して感染の可能性を下げましょう。
- 知らない相手から届いたメールやメッセージの中にリンクが記載されていたら、すぐにはクリックしない。どうしてもクリックする必要がある場合は、リンク先を注意して確認してからにしましょう。
- スマートフォンやタブレットのroot化(Androidデバイスの場合)やジェイルブレイク(Appleデバイスの場合)をしない。root化やジェイルブレイクを行うと、デバイスに侵入されやすくなります。
- 知らない人が手を触れられるような場所にデバイスを放置しない。
- 信頼できるセキュリティ製品を、すべてのデバイスにインストールする。