iOS デバイスを標的とした新たなモバイル APT(持続的標的型)攻撃活動「Operation Triangulation(トライアンギュレーション)」について、6月2日にブログで報告しました。このキャンペーンは、iMessage経由で配布されるゼロクリック・エクスプロイトを使用してマルウェアを実行し、デバイスとユーザーデータを完全に制御するもので、目的はユーザーを秘密裡に監視することです。今回の調査で、当社の従業員数十人のiOSデバイスが標的だったことが明らかになりましたが、このスパイウェアは世界的に拡散されているとみられています。当社は今後も調査を続け、Triangulationの特設ページで随時最新情報をお伝えします。
6月1日に公開したSecurelistの記事には、マルウェアを特定することは可能で、Mobile Verification Toolkit(MVT, モバイル検証ツールキット)を使用する方法について説明しました。その翌日の6月2日、当社は「triangle_check」ユーティリティと呼ぶ特別なツールをリリースしました。これによって、バックアップされたデータをスキャンし、マルウェア感染の痕跡を全て自動的にチェックすることができます。WindowsとLinuxでは、このツールはバイナリビルドとしてダウンロードでき、またMacOSでは、Pythonパッケージとして簡単にインストールできます。Windows, macOS, Linux向けのツールはGitHub で入手可能です。
バックアップの方法
プログラムをインストールする前に、ユーザーはまずデバイスをバックアップする必要があります。
Windowsユーザーであれば、iTunesを使用します。まずデバイスをiTunesがインストールされているパソコンに接続し、データを転送できるようにします。そして、iTunesを開き、使用するデバイスがiTunesに表示されたら、[バックアップする]を選択します。作成されたバックアップは、%appdata%Apple ComputerのBackupディレクトリに保存されます。
macOSおよびLinusユーザーは、インストールと使用の詳細についてSecurelistに詳しい情報が記載されていますので、そちらをお読みください。
バックアップ後は、ツールであるTriangle_checkをインストールして実行します。インストールの方法についてはSecurelistをご覧ください。
結果の解釈
プログラムは 3 つの調査結果を表示します。
- 「DETECTED」 特定の侵害の指標を発見したこと(デバイスの感染を確認したこと)を示しています。
- 「SUSPICION 」 感染の可能性を示唆するあまり明確ではない指標が検出されたことを示します。
- 「No traces of compromise were identified」は、侵害の痕跡 (IoC) が検出されなかった場合に表示されます。
「triangle_check」の詳細についてはSecurelistの記事を 、「Operation Triangulation」については、日本語のプレスリリースとブログをご覧ください。