トロント大学のCitizen Lab研究グループは、イスラエルの企業Paragon Solutionsが開発したスパイウェアによる攻撃を分析し、MetaのWhatsApp通信アプリにゼロデイ脆弱性を発見しました。
Paragonは2019年から存在しており、そのスパイウェアはGraphiteと呼ばれています。同社は、NSO Groupなどの監視企業とは異なり、独裁政権が活動家、政治家、ジャーナリストを標的にソリューションを提供しているのとは異なり、自社にはそのような悪用を防ぐための安全対策が講じられていると主張しています。
Citizen Labは、オーストラリア、カナダ、デンマーク、シンガポール、イスラエル、キプロスでGraphiteの使用の証拠を発見しました。カナダでは、警察がこのスパイウェアを��使用している兆候がいくつか見られます。
Graphiteスパイウェアは最近、イタリアでAndroidおよびiPhoneデバイスユーザーを含むユーザーに対して使用されたことで話題になりました。イタリア政府は2月、ジャーナリストや移民活動家に対し、Paragonスパイウェアを使ったスパイ行為を否定しました。
Metaは最近、24か国90人のユーザーに対し、WhatsApp経由でParagonスパイウェアの標的になったと警告しました。
Citizen Labによると、これらの攻撃の少なくとも一部は、ユーザーの操作を必要としないWhatsAppのゼロデイ脆弱性を悪用したものでした。
WhatsAppが感染経路として利用される可能性があると考えたため、Paragonのインフラマッピングの詳細をMetaと共有しました。Metaは、これらの詳細がParagonに関する継続的な調査において極めて重要であると私たちに伝えました。MetaはWhatsAppと情報を共有し、Paragonのゼロクリックエクスプロイトの特定、軽減、およびアトリビューションに役立てました」とCitizen Labは述べています。
WhatsAppのエクスプロイト、特にゼロクリックエクスプロイトは、非常に価値の高い可能性があります。
WhatsAppはこの脆弱性に関するアドバイザリを公開しておらず、CVE識別子も割り当てていないようです。これは、このゼロデイ脆弱性はサーバー側で修正されている可能性が高い�ため、ユーザーは対策を講じる必要がないことを示唆しています。
ゼロデイ脆弱性の利用に加え、WhatsAppはCitizen Labに対し、BigPretzelとして追跡されているAndroidコンポーネント(WhatsAppユーザーを標的とした攻撃に関与している)がParagonにも関連していることを確認しました。
Citizen Labは、最近発見された証拠は、Paragonのソリューションの標的となる組織の種類に関する同社の主張と矛盾しているようだと指摘しました。
「WhatsAppが通知した90件ほどの標的は、Paragonの事例全体のほんの一部に過ぎないと考えられます。しかし、すでに調査済みの事例には、人権団体、政府批判者、ジャーナリストを標的とする、懸念すべき、かつよくあるパターンが見られます」とCitizen Labは述べています。
**更新:**WhatsAppの担当者はSecurityWeekに対し、昨年末にクライアント側の修正を必要とせずに、この脆弱性(WhatsAppはこれを「攻撃ベクトル」と呼んでいます)に対処できたと述べました。攻撃には、グループの使用とPDFファイルの送信が含まれていました。