イスラエルの元首相エフード・バラク氏が設立したイスラエルのサイバーセキュリティ企業Paragonは、同社のスパイウェア「Graphite」がWhatsApp、Telegram、Signalなどのメッセージングアプリのサーバーに存在する脆弱性を悪用し、監視を行っているとの疑惑に直面しています。
従来のデバイスに侵入するスパイウェアとは異なり、Graphiteはプラットフォームのサーバーインフラの脆弱性を悪用することで、デバイスのセキュリティを完全に回避するとされています。
もしこれらの疑惑が事実であれば、Graphiteはサイバースパイ活動の新たなレベルの�高度化を示し、検知がほぼ不可能な状態となっています。
ハッキング手法:デバイスではなくサーバーを標的に
個々のデバイスに感染する他のスパイウェアとは異なり、Graphiteはメッセージングプラットフォームのサーバーから直接データにアクセスするとされています。
報道によると、Graphiteはターゲットユーザーの電話番号と個人情報を利用してWhatsApp、Telegram、Signalのサーバーにアクセスし、ユーザーになりすましているとされています。この手法により、Paragonは以下の情報を取得できるとされています。
?? テキストメッセージ
??通話記録
?? メディアファイル
?? クラウドバックアップに保存されたアーカイブされた会話
この手法の最も重要な点は、完全にサーバー側で動作することです。つまり、標的のデバイスにマルウェアがインストールされず、フォレンジック上の痕跡が残りません。
GraphiteとPegasusの違い
Graphiteのサイバースパイ活動へのアプローチは、従来のスパイウェアとは根本的に異なります。例えば、Pegasusは通常、ゼロデイ脆弱性攻撃や悪意のあるリンクを介してデバイスに感染しますが、Graphiteはメッセージングアプリのサーバーの脆弱性を悪用すると言われています。
機能
Pegasus (NSO Group)
Graphite (Paragon)
対象
デバイス (スマートフォン、タブレット)
アプリケーションサーバー
感染方法
ゼロデイエクスプロイト、悪意のあるリンク
サーバー側での認証バイパス
デバイスのセキュリティ侵害が必要
はい
いいえ
検出可能性
デバイスに痕跡を残す (フォレンジック分析が可能)
検出が極めて困難
影響を受けるアプリケーション
WhatsApp、iMessage、SMS など
WhatsApp、Telegram、Signal
アクセスされるデータ
メッセージ、通話、メディア、位置情報
メッセージ、通話、メディア、バックアップ
Graphite はデバイスに感染する必要がないため、これまでに開発されたスパイウェアの中で最も高度なものになる可能性があります。
イスラエルのUnit 8200との関連性疑惑
Paragonの技術は、イスラエルの精鋭サイバー諜報部隊Unit 8200の支援を受けて開発されたとの主張があります。Unit 8200は、過去のサイバー戦争や監視ツールへの関与で知られ、Pegasusの開発元であるNSO Groupなどの企業に人材を提供してきました。
報道によると、エフード・バラクはGraphiteの開発にUnit 8200から優秀なサイバー工作員を採用したようです。
2024年12月15日にポーランドで撮影されたこのイラスト写真には、携帯電話の画面に表示されているWhatsAppのロゴが写っています。(AFP通信提供)
WhatsApp:24カ国以上でスパイウェアが使用されている
WhatsAppは最近、スパイウェア攻撃が24カ国以上のユーザーを標的にしていることを確認しました。
これらの攻撃がGraphiteに関連しているかどうかは不明ですが、WhatsApp、Telegram、Signalのサーバーの脆弱性が実際に悪用されている場合、これは世界的なサイバーセキュリティに大きな影響を与える可能性があります。