最新スマホも脆弱性を突かれる!Pegasusによる「ゼロクリック攻撃」とは
ここ数年で世界の著名なジャーナリストなどのスマホがハッキングされている報告がされました。
ユーザーが特定のアクションをしなくても、iMessageが届くだけで感染してしまうゼロクリック攻撃です。
ソフト「Pegasus」によるもので、最新バージョンのiOSで最新モデルのiPhoneでも感染していた事がわかりました。
スパイウェア「Pegasus」によるハッキング報告
世界最大の国際人権NGO「アムネスティ・インターナショナル」が、とある報告を発表しました。
それはiPhone・Androidスマホをターゲットとしたスパイウェア、「Pegasus(ペガサス)」に関するものです。
最新版の「iOS14.6」を搭載したiPhoneでも、ユーザーは何も操作していないのにマルウェアがインストールされたとの事。
この何の操作も必要としない端末感染、これを「ゼロクリック攻撃」と呼んでいます。
ゼロクリック攻撃とは
ゼロクリック攻撃とはその言葉通り、ユーザーにクリックアクションを起こさずにその端末をハッキング(マルウェア感染)できる攻撃です。
主に「iMessage」をiPhoneへ送信することでウイルス感染させる事ができるものでした。
いわゆるショートメール(SMS)の様なものですね。
通常ウイルス感染をさせる場合、怪しいメールなどを送り付ける事がほとんどです。
その場合はメールを開かずに無視しておけば問題はありません。
クリックしなくても届いた時点で感染
ところがこのゼロクリック攻撃で感染するタイミングは、このメッセージを「開いた時」やURLを「押した時」ではありません。
そのメッセージを「受信した時点」で感染させる事ができる訳です。
この場合ユーザーは防ぎようがありません。電話番号さえわかれば、iMessageは送れる訳ですからね。
このゼロクリック攻撃に対しては、OSや端末自体のセキュリティでブロックするしかありません。
スパイウェア「Pegasus」
このスパイウェアの元凶は、イスラエルのNSOグループが販売しているソフト「Pegasus」です。
「Pegasus」に感染させれば、ユーザーに知られずに以下のような事ができる様になるそうです。
デバイスに保存されたメッセージや写真を送信できる
通話を録音
マイクをONにした通話以外の録音
特定人物のスマホのハッキングが目的
このソフトは特定人物の電話をハッキングするために開発・使用されたものだと、アムネスティは主張しています。
特定人物とは、世界中に存在する著名なジャーナリスト、活動家、政治家、経営幹部などです。
しかしNGOグループは、このスパイウェアは合法的なテロ対策目的でのみ販売しているとし、この報告を強く否定しました。
ここ数年のハッキング報告
しかこのスパイウェアによる被害は続々と報告されるようになります。主なものをご紹介します。
2019年
写真アプリのバグを利用し、iCloud Photo Streamサービスを介してiPhoneを制御できる状態になっていた事が判明しました。
スパイウェアがインストールされた後はクラッシュレポート(アプリが異常終了した際に自動的に生成される報告用データ)が無効にされていました。
Apple社がログからこの脆弱性をすぐに発見してしまうのを防ぐためだと推測されています。
iMessageのゼロデイ攻撃
さらに修正プログラムが提供される前段階のiMessageゼロクリック攻撃(&ゼロデイ攻撃)が、既に広く利用されていた事もわかっています。
ハッカーは特別なiCloudアカウントを作成して、スパイウェアの配信に利用していた模様です。
2020年
アムネスティは、AppleMusicを巻き込んだアゼルバイジャンのジャーナリストを標的としたゼロクリック攻撃の証拠を発見しました。
その際の分析では、Apple Musicが感染に使用されたのか、それとも別のアプリからなのかまでは確認できていないそうです。
2021年6月16日
アムネスティは、ゼロクリック侵害を受けたインドのジャーナリストが所有するiPhone12を分析しています。
それによれば最新のiPhoneモデルとiOSバージョンでも、NSOグループのクライアントによりハッキングできる状態にあったと報告しています。
最新のiPhoneも対象になる
ビルマルザック氏は、トロント大学のデジタル監視スペシャリストであるシチズンラボのリサーチフェローです。
同氏はツイッターで、ゼロクリック攻撃が最新のiPhoneに侵入するために使用されている証拠を発見したと述べました。
ゼロクリック攻撃の一部はAppleのImageIOを悪用し、デバイス内の画像を読み取って表示できるようになっていたとしています。
Apple社側の見解発言
アムネスティより調査結果の報告を受けたApple社は、問題を調査すると述べました。
Apple社は声明の中で、iPhoneは依然として最も安全なデバイスの1つであるとしています。
同時にジャーナリスト、人権活動家、および世界をより良い場所にしようとする人々に対するサイバー攻撃を明確に非難しています。
最後に、対応するセキュリティアップデートを優先展開したと付け加えています。
一般人は攻撃対象にならない
さらに、Apple社セキュリティエンジニアリングチーフであるIvanKrstic氏は、以下の様な発言をしています。
「ゼロクリック攻撃は非常に洗練されたものであり、開発に数百万ドルの費用がかかります。ですので多くの場合その保存寿命が短く、特定の個人を標的にするために使用されます。」
あくまでこのソフトは、政府にとって目障りとなるジャーナリストなど向けに高度にカスタマイズされた「特注品」の位置づけという事です。
つまり高価なソフトなので、使う人は選ぶため大多数の一般ユーザーはこの影響を受けません、という意味ですね。
最新版のiOSもハッキングできていた
しかし、少し前まで最新だったiOS14.6でもiMessageにゼロクリック脆弱性が存在した事実を忘れてはいけません。
人を選ぶから大丈夫というのは「ターゲットに偶然ならなかっただけ」という意味でもあります。
つまり一般ユーザーも狙われれば、電話番号さえわかればメールタップなどをさせる事無く、スパイウェアに感染させられるという訳です。
この、攻撃側の匙加減・気分で決まる様な状態は回避されるべきです。
脆弱性を突くイタチごっこ
ここ数年、PegasusとiOSセキュリティはその脆弱性を巡って、対策のイタチごっこをしていました。
しかし今回の報告を見る限り、新しい脆弱性を利用した攻撃方法によって、最新版iOS14.6のセキュリティまで攻略済みだった事になります。
ジャーナリストや人権活動家らにとってスマートフォンは、世界に発信し表現の自由を守るための必須のデバイスです。
ですので当然標的になりやすい事は十分理解できます。
しかしハッキングは違法であり許されるものではないのです。
コストパフォーマンスは悪いが対応は必須
基本的にアップルやGoogleにとってこの「Pegasus」への対策は、コストパフォーマンスも悪く大多数の顧客へのサービスには繋がりません。
しかし例え一部の人物に使われるものだからと言って、このスパイウェアを見逃す訳にはいかないのです。
全ユーザーのデバイスとデータを守るため、常に新しいセキュリティを追加し継続的な改善を図っていくとしています。