2017年4月24日

Pegasus:iOSとAndroidを狙う究極のスパイウェア

ニュース 特別プロジェクト 脅威

AppleのiPhoneやiPadの利用者は、往々にして自分たちは安全だと信じています。曰く、iOSを狙うマルウェアは存在ないのだとか。Appleもこのイメージを否定しようとはしません。それどころか、App Storeではアンチウイルス製品が許可されていません。なぜならば、そのようなアプリは必要ないと言われているからです。

この「言われている」がポイントです。実際、iOS利用者を狙ったマルウェアは実環境に出回っていて、何度も実証されています。2016年8月には、リサーチャーたちがPegasusの存在を明らかにし、あらためてiOSマルウェアが実在することを裏付けました。PegasusはiPadやiPhoneをハッキングし、標的のデータを収集し、監視する能力を持つスパイウェアです。この発見は、サイバーセキュリティの世界全体を不安に陥れました。

Kaspersky LabのSecurity Analyst Summitにおいて、LookoutのリサーチャーがiOS版Pegasusのみならず、Android版Pegasusの存在も明らかにしました。Android版は、それより前に出ていたiOS版とは多少違っています。では、Pegasusにスポットライトを当て、私たちがなぜPegasusを「究極の」という言葉で表現しているのか説明しましょう。

Pegasusの始まり

Pegasusが発見されたのは、アラブ首長国連邦(UAE)の人権活動家アハムッド・マンスール(Ahmed Mansoor)氏(英語記事)がたまたま標的となったことからです。その攻撃はスピアフィッシングでした。マンスール氏は、SMSメッセージを何通か受け取りましたが、その中に悪意あるリンクが含まれていると考え、そのメッセージをCitizen Labのセキュリティエキスパートに送りました。Citizen Labは、別のサイバーセキュリティ企業Lookoutと共同で調査に乗り出しました。

マンスール氏の勘は的中しました。リンクをクリックしていたら、同氏のiPhoneはマルウェアに感染していたでしょう。もっと正確に言えば、ジェイルブレイクしていないiOSをターゲットにしたマルウェアに。このマルウェアはPegasusと名付けられ、Lookoutのリサーチャーは、これまで確認されたエンドポイント攻撃の中で最も洗練されていると評しました。

Pegasusを開発したのは、スパイウェアの開発を専門とするイスラエル企業「NSO Group」です。つまり、このマルウェアは市販されていて、お金を払う気があれば誰でも買えるということです。Pegasusは、iOSに存在する3つの大きな(まだ知られていない)ゼロデイ脆弱性を悪用し、こっそりデバイスをジェイルブレイクして監視ソフトウェアをインストールしていました。Zerodiumというサイバーセキュリティ企業は、かつてiOSのゼロデイ脆弱性1件につき100万ドルの賞金を用意していました。したがって、Pegasusの開発コストは相当かかったと想像できます。

どのような監視かというと、全面的な監視です。Pegasusはモジュール式のマルウェアです。標的のデバイスをスキャンしたあと、利用者のメッセージやメールの読み取り、通話の傍受、スクリーンショットの撮影、押されたキーの記録、ブラウザー履歴や連絡先の抽出など、さまざまな操作に必要なモジュールをインストールします。要するに、Pegasusは標的となった人の生活をあらゆる側面から覗き見できるのです。

さらに、Pegasusは暗号化された音声ストリームを聞くことができ、暗号化されたメッセージを読むことも可能な点も注目に値します。Pegasusにはキーロガーと音声録音の機能が備わっていて、メッセージが暗号化される前に(受信メッセージの場合は復号された後で)盗んでいました。

もう1つ、Pegasusが懸命に身を隠そうとしていたことも興味深い事実です。指揮統制(C&C)サーバーと60日以上通信できなかった場合、または間違ったSIMカードの入った別のデバイスにインストールされたことがわかると、自分自身を削除します(これは標的を絞ったスパイ活動です。無作為に選んだ人を狙っているわけではありません)。

Androidも標的に

おそらくPegasusの開発者たちは、1プラットフォームに限定している割にはプロジェクトにお金をかけすぎたと考えたのでしょう。最初のバージョンが発見されてから2番目のバージョンが見つかるまでに、大して時間はかかりませんでした。Security Analyst Summit 2017で、Lookoutのリサーチャーは、Androidに対応したPegasus(Googleは「Chrysaor」と呼んでいます)について講演しました。Android版はiOS版と機能の点で非常によく似ていますが、デバイスに侵入する手口が異なります。

Android版Pegasusは、ゼロデイ脆弱性を突くのではなく、よく知られたroot化アプリFramarootを使用します。さらにもう1つ、異なる点があります。iOS版はデバイスのジェイルブレイクに失敗すると、その攻撃自体が失敗します。ところが、Android版は監視ソフトウェアをインストールするために必要なrootアクセスを取得できなくても攻撃を続行し、何らかのデータの抽出に必要な許可を直接、利用者に要求します。

Googleは数十台程度のAndroidデバイスが感染したと主張(英語記事)していますが、標的型サイバースパイ攻撃としてはかなりの数です。Android版Pegasusが最も多く観測されたのはイスラエルで、次いでジョージア、メキシコと続きます。他にもトルコ、ケニア、ナイジェリア、UAEなどで確認されました。

念には念を入れた対策を…

iOS版Pegasusのニュースが流れると、Appleはすぐに対応し、前述の3つの脆弱性にパッチを適用するiOSセキュリティアップデート(9.3.5)を公開しました。

Android版の調査に協力したGoogleは別の対策を取り、Pegasusの標的となる可能性のある人に直接通知しました。iOSを最新版にアップデートした人やGoogleから警告メッセージを受け取っていない人は、おそらく安全です。Pegasusに監視されていることはないでしょう。

しかし、だからといって、iOSにもAndroidにも未知のスパイウェアが存在しないという意味ではありません。Pegasusの存在は、iOSマルウェアのレベルが高く、簡単にブロックできる脅威(お粗末なプログラミングのアドウェアや身代金を要求するWebサイトなど)をはるかに凌ぐことを示しています。つまり、手強い脅威が実環境で野放しにされているのです。そこで、できるだけ安全に過ごすためのアドバイスを3つご紹介します。

  1. デバイスはタイムリーかつ確実にアップデートしましょう。セキュリティアップデートには特に意識してください。
  2. デバイスにはそれぞれ、優良なセキュリティ製品をインストールしましょう。iOS向けのセキュリティ製品はありませんが、PegasusがAppleの方針を変えてくれることを願います。
  3. フィッシングには引っかからないでください。マンスール氏のケースのような標的型のスピアフィッシングだったとしても。知らない人からリンクを受け取ったら、反射的にクリックせず、よく考えてからクリックしましょう。または、不審なリンクはクリックしない方針をとるのもよいでしょう。