LightSpy:香港のiPhoneユーザーを狙うスパイウェア

香港で発生したサイバー攻撃。偽のニュースサイトにアクセスした人々のiPhoneにスパイウェア「LightSpy」が感染していました。

Kasperskyは今年1月、香港の住民を狙った大規模な水飲み場攻撃を検知しました(英語記事)。多機能を持つiOS向けのマルウェア「LightSpy」を、iPhoneに感染させることを狙ったものです。この件は、Appleのデバイスが保護されているとはいっても完璧に守られているわけではないことを改めて思い出させます。

LightSpyはどのようにiOSデバイスに感染するか

このマルウェアがスマートフォンに感染する経路は、地元のニュースサイトに見せかけた複数の偽Webサイトです。これらのWebサイトは、実際のニュースサイトのHTMLコードをコピーして本物そっくりに作られており、ここにアクセスするとマルウェアに感染する仕組みでした。

このWebサイトからはさまざまなエクスプロイトがスマートフォンへ送り込まれ、結果としてマルウェアのLightSpyがインストールされます。これら偽サイトへのリンクは、香港の人々の間でよく知られているフォーラムを通じて拡散されました。悪意あるページにアクセスするだけで、何かをタップするようなアクションを一切しなくても感染する状態でした。

LightSpyとは何か

LightSpyはモジュラー型のバックドアで、感染した先のデバイスで攻撃者からのリモートコマンドを実行し、さまざまなスパイ行為を行います。

たとえば、攻撃者はこのマルウェアを通じてiPhoneの位置の特定、連絡先および通話履歴の入手、Wi-Fiの接続履歴、ローカルネットワークのスキャンが可能であり、検知したIPアドレスをすべて指令サーバーへアップロードさせることも可能です。そのほか、このバックドアはキーチェーン(iOSのパスワードや暗号鍵の保管場所)から情報を盗むモジュールを持っており、WeChat、QQ、Telegramといったメッセンジャーアプリから情報を盗むことも可能です。

興味深いのは、この攻撃者がゼロデイ脆弱性を使用するのではなく、いわゆる「ファーストデイ(First-day)脆弱性」と呼ばれるものを利用している点です。ファーストデイ脆弱性とは、新しく発見された脆弱性のうち、パッチは提供済みだが最新のアップデートにしか含まれていない状態のものを指します。したがって、自分のiOSデバイスをアップデート済みであった人々は感染しませんでしたが、アップデートをまだ適用していない人も多くいました。この攻撃の影響を受けたのは、iOS 12.1および12.2が稼働するiPhone 6s〜iPhone Xです。

LightSpyの危険を避けるために

LightSpyが中国以外でも感染を広げるかどうかは今のところ不透明ですが、こういったツールキットは拡散する傾向があるため、自分には影響ないと考えるのは早計です。予防策として以下を推奨します。

  • iOSの最新バージョンをインストールする。現時点での最新バージョン(iOS 13.4)では、Wi-Fiのバグやその他不具合が修正されています。
  • リンクをクリックする場合には慎重に。特に、知らない人から送られてきたものに関しては、特に注意が必要です。よく知っているWebサイトを指すリンクのように見えたとしても、念を入れてURLをチェックすることをお勧めします。フィッシングページの見分け方について触れている、こちらの記事もご参照ください。
ヒント