トロント大学シチズン・ラボのサイバーセキュリティ研究者らは、イスラエルの企業パラゴン・ソリューションズが開発した高度なスパイウェアGraphiteが、WhatsAppを通じて著名人を標的にしていたことを明らかにしました。
彼らの調査により、WhatsAppソフトウェアに存在するこれまで知られていなかったゼロデイ脆弱性が、ゼロクリック攻撃によってスパイウェアをデバイスにインストールさせ、攻撃者が標的の携帯電話に不正アクセスすることを可能にしていたことが明らかになりました。
ご参考までに��、ゼロクリックエクスプロイトとは、ユーザーがリンクをクリックしたり、ファイルを開いたり、その他の操作を行わなくてもデバイスが侵害される可能性があることを意味します。
世界中のGraphiteスパイウェアサーバー
2019年にイスラエルの元首相エフード・バラク氏をはじめとする関係者によって設立されたParagon Solutionsは、NSO Groupなどの他のスパイウェアベンダーとは異なり、倫理基準を遵守することで差別化を図っていると主張しています。
しかし、Citizen Labの研究者はGraphiteに起因するとされるサーバーをマッピングし、複数の国でジャーナリスト、人権活動家、政府批判者に対する攻撃の疑いのあるサーバーを特定しました。対象となるのは、以下の国です。
- イタリア
- イスラエル
- カナダ
- キプロス
- デンマーク
- オーストラリア
- シンガポール
WhatsAppの親会社であるMetaは、24カ国で約90人のユーザーが標的になったことを確認しました。しかし、研究者はカナダに拠点を置いているため、調査の重要な側面はカナダのクライアントであるオンタリオ州警察(OPP)に焦点を当てました。分析の結果、ParagonとOPPの関連性が明らかになり、オンタリオ州警察におけるスパイウェア機能の組織的な使用が明らかになりました。
イタリアとのつながりが調査の焦点となりました。WhatsAppから通報を受けたジャーナリストのFrancesco Cancellato氏、Mediterranea Saving Humans創設者のLuca Casarini氏、およびGiuseppe Caccia博士のAndroidデバイスのフォレンジック分析により、Graphiteスパイウェアの存在が明確に示されました。
研究者は、Androidフォレンジックで独自のアーティファクトであるBIGPRETZELを特定し、これらのデバイスにParagonのスパイウェアが存在することを確認しました。イタリア政府は当初、いかなる関与も否定していたが(https://www.reuters.com/world/italian-sea-rescue-activist-targeted-with-spyware-according-meta-alert-2025-02-05/)、後にパラゴンとの契約を[認めた(https://www.ilfattoquotidiano.it/2025/02/12/caso-paragon-il-governo-conferma-servizio-mai-sospeso-contratto-non-rescisso-giornalisti-spiati-non-e-stata-lintelligence/7874965/)]。
さらに、捜査は、パラゴンの標的と確認された人物の側近であるダビド・ヤンビオ氏の所有するiPhoneにも及んだ。 Yambioが受け取ったAppleからの脅威通知とフォレンジック分析の結果、新たなスパイウェアによる感染の試みが明らかになり、Appleはその後iOS 18で修正プログラムを適用しました。
Citizen Labの調査結果を受け、MetaはAppleおよびGoogleと協力し、セキュリティ脆弱性の解決に取り組みました。WhatsAppはサーバー側の修正プログラムを実装し、ユーザーがアプリをアップデートする必要がないようにしました。Appleはまた、iPhoneユーザーを保護するためにiOSオペレーティングシステムのパッチもリリースしました。
その後、WhatsAppは標的のユーザーに通知しました。通知には、「お客様のデバイスが脅威にさらされていると判断した場合、WhatsAppチャットを通じて直接お客様に通知することがあります」と記載されていました。
NSO Groupの訴訟勝利にもかかわらず、WhatsAppへの攻撃は続く
Hackread.comは以前、悪名高いイスラエルのスパイウェア企業NSO Groupが、数百のWhatsAppアカウントへの不正アクセスで法的責任を問われたと報じました(https://hackread.com/whatsapp-wins-lawsuit-against-israeli-spyware-nso-group/)。裁判所は、NSO GroupがWhatsAppの利用規約に違反し、脆弱性を悪用して強力なスパイウェア「Pegasus」を少なくとも1,400台のデバイスにインストールし、ジャーナリスト、人権活動家、反体制派、政府関係者を標的とした責任を負ったと認定しました。
興味深いことに、CyberScoopは2024年11月に、MetaがNSO Groupに対して訴訟を起こした後もNSO GroupがWhatsAppのエクスプロイトに基づく新たなマルウェアの開発を続け、WhatsAppがEdenエクスプロイトを無効化した後もNSO Groupは2020年5月までユーザーを標的とするErisedベクトルを作成したと報じた。
現在、Citizen Labの調査結果は、イスラエルのスパイウェア企業がスパイウェア展開のためにWhatsAppの脆弱性を悪用することに継続的に注力しており、ジャーナリストや活動家に対して積極的に利用していることを示しています。
これらの事例は、ユーザーのプライバシーを侵害しようとするテクノロジー企業と悪意のある行為者との間の終わりのない闘争と、デジタルプライバシーと人権を保護するために、スパイウェア業界内で継続的な注意、より厳格なセキュリティ対策、法的説明責任が不可欠であることを示しています。