研究者たちは、メッセージアプリを通じてジャーナリスト、人道支援活動従事者、その他の民間人を標的とした世界的な監視活動の実態を解明し始めている。
1月31日、WhatsAppはイスラエルに拠点を置く「Paragon Solutions」が開発したスパイウェアの標的になったとみられる90人以上の個人に連絡を取った。サイバー研究機関Citizen Labは、被害者3人と協力者からの情報に基づき、これらのスパイウェア活動の仕組みに関する詳細を明らかにし、少なくとも4大陸に広がるCitizen Labの顧客の少なくとも一部の所在地を特定した。
「実際の政府は、AndroidとiOSの両方のスパイウェアを自国民と外国人の両方に対して使用しています」と、調査に参加したCensysのシニアセキュリティ研究者、エイダン・ホランド氏は警告する。「今はまさに狂気の時代です。」
Paragon Mobile Spyware Groupとは?
Paragon Solutionsは、2019年に元イスラエル国防軍(IDF)第8200部隊司令官と元イスラエル首相エフード・バラクによって共同設立されました。2021年には、中央情報局(CIA)や米海軍の退役軍人を含む元政府職員を一部擁する米国支部を設立しました。
ParagonのAndroidマルウェア「Graphite」は、一般的なスパイウェアとは少し異なる動作をします。デバイスに隠しアプリやプロセスとしてロードされるのではなく、ユーザーが既にダウンロードしている可能性のある既存の正規メッセージングアプリに潜入します。この戦術は、デバイス自体に残るフォレンジック証拠は少ないものの、アプリ開発者を巻き込むことに成功しました。
最近の事例では、攻撃者はまず、独自の(まだ明らかにされていない)手段を用いて標的を特定のWhatsAppグループに追加します。追加された後、標的にPDFファイルを送信します。標的のデバイスは自動的にPDFファイルを解析し、ペイロードはWhatsApp自体のゼロデイ脆弱性を悪用できるようになります。Graphiteはユーザーの操作を必要とせずにアプリにロードされ、サンドボックスから脱出することで、他のアプリにも拡散します。 Citizen Labは、Graphiteが「人気メッセージングアプリ」を含む2つのアプリに拡散していた1台のスマート��フォンを分析しました。
WhatsAppは昨年末、このゼロクリックエクスプロイトを発見し、修正しました。WhatsAppの親会社であるMetaはBleeping Computerに対し、修正は完全にサーバー側で適用されたため、ユーザーがアップデートする必要はなく、CVE-IDを割り当てなかったと述べています。
ParagonのマルウェアはNSO Groupと同様に有害ですが、Paragonは悪名高いNSO Groupよりも倫理的な代替手段として自らを売り込んでいます。狂信的な独裁者と契約することはないため、その使命は健全であると確信できるという理屈です。しかし、MetaとCitizen Labは、Paragonのマルウェアが無害な民間人に対して定期的に使用されていることを発見しました。
例えば、最近特定された90人の標的のうち、イタリア出身の3人が公表されました。調査報道機関の編集長と、地中海を渡る移民を救助する団体の共同創設者です。
スパイウェア基盤のマッピング
イタリアはスパイウェアに関して歴史に名を刻んでいます。Citizen Labは、Paragonの痕跡が他にどこに存在するかを調べるため、世界中のインターネット接続資産に関する約4ペタバイト(1,000テラバイト)相当のデータを保有するCensys社と協力しました。
研究者たちは、協力者からのたった1つのヒントから着手し、Paragonの開発者や顧客に結びつく様々なインフラを推測し、発見しました。
ホランド氏によると�、最も容易なのは、知識の浅い顧客が監視インフラを知らず知らずのうちに公開してしまう時です。例えば、「NSOグループがメキシコ政府に売却した場合、メキシコ政府はソフトウェアを導入するでしょう」とホランド氏は言います。「そうなると、ソフトウェアを導入する側は、正しい方法で導入し、NSOグループの存在を示す兆候を隠す責任を負います。つまり、彼らはスパイウェアを適切に隠蔽するために、無作為な政府職員を信頼していることになります。これは彼らの職務範囲外です。」
アナリストたちは、オーストラリア、カナダ、キプロス、デンマーク、イスラエル、シンガポールでParagonの導入状況を特定することに成功しました。
特にカナダは興味深い事例でした。研究者たちは、そこで発見した接続がオンタリオ州警察につながると推測し、さらに調査を進めると、オンタリオ州の裁判所で、同州のヨーク地域警察、ハミルトン警察、ピール地域警察が関与するスパイウェア事件が複数件発生していることが判明した。
Paragonのオペレーションセキュリティ上の失態
Paragon自身も、オンライン上での存在を常にこれほど慎重に隠蔽してきたわけではない。
「2021年から2022年頃まで遡って調査しました。当時、彼らはまだ身を隠していなかったのです」とホランド氏は振り返る。ある時、研究者たちがイスラエルの疑わしいIPアドレスの特定の範囲を調査したところ、「Paragon」というタイトルのウェブページが見つかった。ホランド氏はクスクス笑いながら、「一体どんなスパイウェア会社がこんな風に自社のウェブサイトを宣伝しているのだろう?」と自問する。
し�かし彼は、「正直なところ、マルウェアではよくあることです。[サーバーが]『こんにちは、私はCobalt Strikeです』とアナウンスしてくるのです」と指摘する。なぜ私にそんなことを言うのですか? 今なら存在する他のすべてのCobalt Strikeサーバーを見つけることができますよ。」
近年、Paragonは明らかに誤りを修正した。「[Paragonブランドのドメイン]の他のインスタンスを探しましたが、少なくとも私たちの視点では、現在のインターネットスキャンには存在しません。もっとも、ParagonがCensysをブロックして、そのコンテンツがインデックスに登録されたり、Webアプリケーションファイアウォール(WAF)の背後に隠れたりするのは、全く有効な手段だったでしょう」と彼は言う。
明るい面を見れば、彼は付け加える。「これは、それらが進化するにつれて、さらに調査する余地を少し残しています。」