政府が入手したスパイウェアは、ますます民間人を脅かしています。高度なスパイウェア攻撃を回避することは非常に困難ですが、基本的なインターネット衛生を実践し、常に警戒を怠らなければ、リスクを最小限に抑えることができます。
2月、イタリア全国ジャーナリスト連合は、議会におけるスパイ疑惑に関する質疑応答を政府が遮断したことを受け、イタリア政府を刑事告訴しました。
欧州の約90人のユーザーに送られたWhatsAppアラートに基づき、同連合は、イタリア政府がイスラエル企業Paragon Solutionsが開発したスパイウェア「Graphite」を使用して、活動家ルカ・カサリーニ氏とイタリアのジャーナリストをスパイしていたと主張しました。
イタリア政府はこれらの疑惑を否定しています。しかし、昨年米国の投資会社に買収されたパラゴン・ソリューションズは、利用規約違反を理由に契約を解除したと、ガーディアン紙の情報筋が報じている。
これは、当初は犯罪者やテロリストをスパイすることを目的としていたスパイウェアツールが、制御不能に陥り、一般市民を標的にするようになった多くの例の一つに過ぎない。
今年、米国国家防諜・安全保障センター(NCSC)のマイケル・ケーシー所長は、多くの独裁政権を含む約100カ国の政府がスマートフォン監視ソフトウェアツールを導入したと発表しました。
ケーシー氏のデータは、この業界が成長していることを示唆しています。米国のシンクタンク、カーネギー財団によると、2011年から2023年の間に、74の政府が民間企業と契約を結び、スパイウェアやデジタルフォレンジック技術を入手したという。
ケイシー氏はまた、サイバー犯罪者が闇市場でスパイウェアを入手するケースが増えていると警告した。
ペガサス感染1000件中8件
政府レベルのスパイウェアの大部分は、イスラエル製か、同国の元諜報機関職員によって作成されたもので、イタリアを含むいくつかの欧州連合諸国がそれに続いている。
ParagonのGraphiteやNSO GroupのPegasusといった最も高度なツールはゼロクリック型です。つまり、ユーザーがリンクをクリックしたり、その他の操作をしなくてもデバイスが感染します。
Pegasusは長年にわたり検出不可能とされてきましたが、最近ではスマートフ�ォンやソフトウェアベンダーがユーザーにこのスパイウェアについて通知するようになりました。また、アムネスティ・インターナショナルのキットやiVerifyのスキャンアプリなど、ユーザーがデバイスをスキャンしてPegasusを検出できる公開ツールもあります。
「携帯電話はスパイウェア拡散の最前線にあり、いわゆる「ゼロクリック」機能はツールの分野で依然として注目されています。最高の機能はNSO Group、Intellexa、Paragonといった企業によって開発されていますが、従来のハッカー集団もすぐに彼らの実力に匹敵するほどの実力を持つようになってきています」と、モバイルセキュリティソリューションプロバイダーiVerifyの共同創業者兼最高執行責任者(COO)であるロッキー・コール氏は述べています。
彼は、一般ユーザーにとって非常に安全な携帯電話のアーキテクチャは、スパイウェアを検出するのに十分なテレメトリを現代の携帯電話から収集することが困難であるため、意図的な攻撃者に対してより脆弱になっていると指摘しています。
iVerifyは、12月に18,000回の試行のうち11件のPegasus検出があり、そのすべてがビジネスコンテキストで発生したと主張しています。
コール氏は、モバイル攻撃はより頻繁になり、もはや著名人だけを標的とするものではなくなり、企業全体を危険にさらしていると指摘しています。
「大規模な金融取引が行われる直前にスパイウェアが出現します。昨年行った自然実験では、『頻繁にハッキングされる』携帯電話1,000台あたり約0.8台のスパイウェア感染が発生する可能性があることが示唆されました」と彼は付け加えています。
スパイウェアの検出が難しい理由
NSO GroupとParagon Solutions以外にも、数十のスパイウェアベンダーが存在します。昨年、Googleの脅威分析グループは、政府機関へのセキュリティエクスプロイトやスパイウェアサービスの販売・供給に関与している40社を特定しました。
CyberProof脅威調査チームのNiranjan Jayanand氏は、Candiru、NoviSpy、Hermit、Predatorを特に注目すべき企業として挙げています。
彼によると、スパイウェアは活動家、弁護士、政府職員を標的とすることが多いものの、民間人も標的にされるケースが増えている兆候がいくつかあるとのことです。
これは、ユーザーが私物デバイスを職場に持ち込むポリシーが増え、脅威アクターが標的とできる範囲が広がっていることが原因と考えられます。
中国のハッカーは民間人の監視において目立っており、EagleMsgSpyは地元警察によって合法的な傍受ツールとして使用されています。
「EagleMsgSpyは、情報収集活動を開始するために、標的のデバイスへの物理的なアクセスを必要とするようです。監視クライアントは、QRコードや、USB接続時にスマートフォンにインストールされる物理デバイスなど、様々な方法で取得できます」とジャヤナンド氏は述べています。
さらに、中国の国営ハッカーがSalt Typhoon攻撃に関与していると言われており、政府や政治の要職に就く人々を含む数百万人に影響を与える可能性があります。
スパイウェアの検出がなぜそれほど難しいのかと尋ねられると、ジャヤナンド氏は、スパイウェアはユーザーレベルではなくオペレーティングシステムのカーネルレベルで動作することが多く、デバイスとどのようにやり取りするかを把握するのが難しいと述べています。
「一部のスパイウェアは『時限爆弾』を仕掛け、特定の日時にのみ作動するため、早期発見が非常に困難です。攻撃者は偽旗作戦を用いて既知のスパイウェアを装ったり、特定の政府機関による攻撃だと偽装したりする可能性があり、これにより攻撃の特定と検出はさらに困難になります」とジャヤナンド氏は説明します。
業界の秘密主義
マイクロソフトのセキュリティ担当シニアエンジニア、ミシレシュ・ラマスワミ氏によると、企業がスパイウェアツールを販売する主な理由は金銭です。
「スパイウェアメーカーは、個人情報王国への鍵となる消費者向けデバイスの急速な普及に支えられた、金銭的に有利な市場を見つけました。需要が増加すると供給も増加し、ダークウェブ上にスパイウェアのマーケットプレイスが出現するのです」と彼は言います。
このサイクルは自己増殖します。つまり、入手しやすくなればツールの質が向上し、ツールの質が向上すると需要が高まり、市場はさらに拡大するのです。
スパイウェア業界の秘密主義的な性質上、スパイウェアベンダーの収益と利益を推定することは困難です。
例えば、上場を目指していたNSOグループは、2020年に2億4,300万ドルの収益を報告しました。しかし、翌年の2021年には、独裁政権に民間人を標的とする技術を販売していたとして、米国政府のブラックリストに掲載され、財務に大きな打撃を与え、財政難に陥りました。
複数の出版物は、出典を明記していないニューヨーカーの記事を引用し、スパイウェア市場全体の規模は2022~2023年に120億ドルに達すると主張しています。
スパイウェアの兆候
ユーザーのデバイスがスパイウェアに感染する可能性はどれくらいでしょうか?
コール氏によると、多くの人が疑い深すぎるという。携帯電話が「おかしな動き」をしていると気づき、ハッキングされたに違いないと決めつけてしまうが、実際にはバグのあるコードを実行しているだけかもしれないのだ。
しかしながら、政府関係者、弁護士、活動家など、頻繁にハッキングされる人々の間では、スパイウェア被害が増加している。
> 「ゼロクリック」攻撃は目に見える兆候がないため、防御策はほとんどない。
「しかし、ほとんどのスパイウェアはワンクリックで作動するため、知らない人から悪意のあるリンクやファイルを含むテキストメッセージを受け取ることになる。稀に、携帯電話のバッテリーの消耗が早くなったり、どこにいてもインターネットの速度が急に遅くなったりすることもあるだろう」とコール氏は付け加える。
ラマスワミー氏によると、何も入力していないのにマイクやカメラが起動するのは、何か、あるいは誰かが監視している可能性があるという明確な警告だという。
ジャヤナンド氏は、機能の不具合やセキュリティソフトウェアの不具合といった異常も、デバイスにスパイウェアが存在する兆候となる可能性があると付け加えています。
高度な攻撃は検知が難しい場合もありますが、専門家は、オ�ペレーティングシステムとアプリを定期的に更新し、信頼できるソースからのソフトウェアのみをインストールし、迷惑メッセージやメールを避けることで、安全を確保できるよう推奨しています。