レポート 5218

関連インシデント

インシデント 106933 Report
Purported Graphite Spyware Linked to Paragon Solutions Allegedly Deployed Against Journalists and Civil Society Workers

Loading...
WhatsApp、Paragonスパイウェア攻撃で悪用されたゼロクリック脆弱性を修正
bleepingcomputer.com · 2025

WhatsAppは、トロント大学Citizen Labのセキュリティ研究者からの報告を受け、Paragonのスパイウェア「Graphite」のインストールに利用されるゼロクリック・ゼロデイ脆弱性を修正しました。

同社は昨年末、「クライアント側の修正を必要とせずに」この攻撃ベクトルに対処し、「MITREが公開したCVEガイドラインと(自社の)社内ポリシーを確認した」上でCVE-IDを割り当てないことを決定しました。

WhatsAppの広報担当者はBleepingComputerに対し、「WhatsAppは、ジャーナリストや市民社会のメンバーを含む多数のユーザーを標的としたParagonによるスパイウェア攻撃を阻止しました。影響を受けたと思われる人々に直接連絡を取りました」と述べています。

「これは、スパイウェア企業が違法行為に対して責任を負わなければならないことを示す新たな事例です。WhatsAppは、引き続き人々のプライバシーを守ります。」 1月31日、WhatsAppはこれらの攻撃に使用されたゼロクリックエクスプロイトを軽減した後、24か国以上の約90人のAndroidユーザーに通知しました。通知にはイタリアのジャーナリストや活動家などが含まれており、彼らは機密データを収集し、プライベートな通信を傍受するためにParagonスパイウェアを仕掛けられました。

Citizen Labは、攻撃者がPDFを送信する前に、標的のユーザーをWhatsAppグループに追加したことを発見しました。次の攻撃段階では、被害者のデバイスは自動的にPDFを処理し、現在修正済みのゼロデイ脆弱性を悪用してWhatsAppにスパイウェア「Graphite」を埋め込みました。

この埋め込み型スパイウェアはその後、Androidサンドボックスを回避し、標的のデバイス上の他のアプリにも侵入しました。スパイウェアがインストールされると、攻撃者は被害者のメッセージングアプリケーションにアクセスできるようになります。

「WhatsAppが通知した90件ほどの標的は、Paragon攻撃の総件数のほんの一部に過ぎないと考えられます。しかし、すでに調査済みの事例には、人権団体、政府批判者、ジャーナリストを標的とする、懸念すべき共通のパターンが見られます」とCitizen Labは水曜日に述べています

Graphiteスパイウェアの感染は、ハッキングされたAndroidデバイス上で、侵入されたデバイスのログを分析することで検出できるフォレンジックアーティファクト(BIGPRETZELと呼ばれる)の助けを借りて検出できます。

しかし、感染の証拠がないからといって、Androidログの散発的な性質のためにフォレンジック指標が上書きされたり、キャプチャされなかったりする可能性も排除できません。

Citizen Labはまた、Paragonが標的のデバイスにGraphiteスパイウェアインプラントを展開するために使用したサーバーインフラストラクチャをマッピングし、オーストラリア、カナダ、キプロス、デンマーク、イスラエル、シンガポールを含む複数の政府機関顧客との潜在的な関連性を発見しました。

Paragonのインフラストラクチャ内の単一のサーバーのドメインから、研究者たちは複数のフィンガープリントを作成し、専用のコマンド&コントロールインフラストラクチャの一部であると考えられる数十のIPアドレスにリンクされた150のデジタル証明書を発見しました。

「このインフラには、Paragon社やその顧客がレンタルしたと思われるクラウドベースのサーバーに加え、Paragon社やその政府機関顧客の敷地内でホストされていると思われるサーバーが含まれていました」とCitizen Labは述べています。

「私たちが発見したインフラは、イスラエル(Paragon社の本拠地)のIPアドレスから返される『Paragon』というタイトルのウェブページと、Paragon社のスパイウェア名である組織名『Graphite』と一般名『installerserver』(競合のスパイウェア製品であるPegasus社は、デバイスにスパイウェアを感染させるサーバーを指すために『Installation Server』という用語を使用しています)を含むTLS証明書にリンクされていました。」

イスラエルのスパイウェア開発会社 Paragon Solutions Ltd. は、2019 年にイスラエルの元首相エフード・バラク氏と イスラエルの Unit 8200 の元指揮官エフード・シュネオルソン氏によって設立されました。フロリダに拠点を置く投資グループAEインダストリアル・パートナーズは、2024年12月に同社を買収したと報じられている。

NSOグループなどの競合他社とは異なり、パラゴンは、危険な犯罪者を標的とする民主主義国の法執行機関や情報機関にのみ監視ツールを販売していると主張している。

2022年12月、ニューヨーク・タイムズ紙は、米国麻薬取締局(DEA)が同社のスパイウェア「Graphite」を使用したと報じた。 2年後の2024年10月、Wired誌は、Paragonが米国移民関税執行局(ICE)と200万ドルの契約を締結したと報じました。

3月19日 12:11 EDT更新: WhatsAppの声明を追加しました。

情報源を読む