あなたのiPhoneはすでにハッキングされている?

iOSとAndroidに感染し、スパイ行為を働くマルウェアの存在が明らかになりました。Kaspersky Labのリサーチャーが、このトロイの木馬の実際のサンプルを発見しています。

iphone.min

スマートフォン向けマルウェアの98%以上がAndroidを標的としていることは、よく知られています。これは、iOS向けアプリがApp Storeからしかダウンロードできず、Appleは同ストアを人間の手で管理して、悪意のあるソフトウェアが登録されるのを非常にうまく防いでいるからです。ただしこれは、標的を特に決めずに不特定多数のユーザーの感染を目的としているマルウェアに限っての話で、何者かがあなたを個人的にスパイしようとしている場合、事態は大きく変わってきます。こうしたスパイ行為の対象は、犯罪者や影響力のある実業家、あるいは政治活動家だけではありません。本記事で紹介するように、あなたは「不審な」人物や「興味深い」人物に分類されているかもしれません。その場合、諜報機関はあなたのiPhoneも感染させようとする可能性があります。

一部の国では、「監視」や証拠収集を目的として、複数の政府関連機関が被疑者のコンピューターやスマートフォンに侵入することを認められています。これらの機関は侵入のために、いわゆる「合法の」スパイウェアを使用するのが一般的で、こういったソフトウェアを公然と開発、販売する国際的な企業が存在します。イタリアに本社を置くHackingTeamがその1つで、「Galileo」の別名でも知られるRemote Control SystemRCS)ソフトウェアの開発元です。Kaspersky Labは以前、RCSインフラをモニタリングしていたところ、RCSから「埋め込まれた」Windows向けマルウェアに遭遇しました。スマートフォンへの「埋め込み」の存在を示唆する複数の手がかりがありましたが、このときは実際に活動しているものを手にする機会はありませんでした。Kaspersky Labは最近、Citizen Labのモルガン・マルキボア(Morgan Marquis-Boire)氏と共同で調査を実施し、新たな変種を複数発見しました。これらは、AndroidiOSの両方で動作する、スマートフォン向けトロイの木馬でした。

iOSを狙うマルウェア

RCSに関する現在進行中の調査では、iPhoneを感染させる手段について、新たに重要な発見がありました。まず、被害者のコンピューターはWindowsまたはMac OS向けのマルウェアに感染しています。感染の経路は毎回異なり、ソーシャルエンジニアリングエクスプロイトスピアフィッシングなどがあります。マルウェアはコンピューターの中で息を潜め、キー入力の監視のような典型的なスパイ活動を展開しつつ、被害者がスマートフォンをiTunesと同期するのを待ちます。スマートフォンへの感染が意図されている場合は、トロイの木馬は接続されたiPhoneをひそかに脱獄(ジェイルブレイク)させ、スパイ行為を働くモバイルコンポーネントをインストールしようと試みます。この段階でiPhoneは再起動しますが、実際のところ、まずい状況に陥っていることが目に見えて分かる証拠はこれだけです。マルウェアは非常に巧妙で、攻撃者が指定したWi-Fiネットワークが検出されているときや、充電器に接続しているときだけ動作するなど、複数の論理トリガーを使用して散発的にスパイ行為を働きます。そのため、被害者が気付くようなバッテリーの浪費は起きません。

モバイル向けのトロイの木馬であるRCSは、位置情報の記録、写真の撮影、SMSの監視、WhatsAppなどのメッセンジャー、連絡先情報の盗み取りなど、想像し得るあらゆる手段でスパイすることができます。

iOSを狙うこのトロイの木馬は巧妙で、散発的にスパイ行為を働きます。つまり、バッテリーを浪費しません

もちろん、特定のiPhoneをハッキングできるかどうかについては制約があります。まず、動作するiOSが「脱獄可能」なバージョンである必要があります。たとえば、最新バージョンのiOSには既知の脱獄方法はありませんが、以前のバージョンであれば脱獄可能です。次に、脱獄の実行中はiPhoneがパスコードでロックされていないことが条件となります。ただし、この2つの条件がそろうのはそれほど珍しいことではないため、スパイウェアを操作する攻撃者は、間違いなく多くのiOSを乗っ取っていると考えられます。

被害者

Kaspersky LabCitizen Labと共同で実施した調査でわかった被害者のリストには、活動家や人権運動家、ジャーナリスト、政治家などが名を連ねます。ただし、関心を持たれた理由がはっきりしない被害者もいます。目立った例としては、英国に住む歴史の高校教師などが挙げられます。

発見されたRCS管理サーバーの多くは、米国、カザフスタン、エクアドル、英国、カナダにありました。Kaspersky Labの主任セキュリティリサーチャーのセルゲイ・ゴロバーノフ(Sergey Golovanov)は次のように述べています。「これらのサーバーが特定の国にあるからといって、その国の捜査当局が使用しているとは限りません。しかし、RCSを利用する者にとって、国境を越えることにより生じる法的な問題やサーバー差し押さえのリスクを回避できることから、コントロール可能な場所にサーバーを設置するのは合理的な手段かもしれません。」

保護

感染のリスクを避けるため、Kaspersky Labのエキスパートは、なによりもiPhoneの脱獄を行わないこと、そしてiOSを常に最新バージョンに保つことをお勧めしています。加えて、強力なセキュリティソフトウェアをコンピューターにインストールしておくことで、感染のリスクを大幅に抑えることができます。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?