アムネスティ・インターナショナルは、iMessage のゼロクリック 0 デイ脆弱性など、Apple ソフトウェアの弱点を利用して、NSO の Pegasus スパイウェア ツールがジャーナリストや活動家の iPhone に侵入したいくつかの方法を示す詳細な証拠を入手した。
日曜日、NSOグループが開発したペガサスツールが、政府機関によって批評家やジャーナリストへの攻撃に利用されているとする調査報告書が発表されました。NSOは、このツールは犯罪者に対してのみ使用されると主張していましたが、漏洩した潜在的な標的リストには、NSOの顧客によって複数のジャーナリストも監視されていたことが明らかになりました。
アムネスティ・インターナショナルのセキュリティラボは、ペガサスが残したフォレンジック証拠を分析した報告書の中で、iPhoneなどのスマートフォンに対してペガサスによる攻撃が試みられたことを示す複数の痕跡を明らかにしています。多くの攻撃において、NSOはAppleのソフトウェアの脆弱性を利用してアクセスを獲得したようです。
アムネスティは、攻撃が2014年から2021年7月まで実行されたと詳細に説明している。攻撃の一部は「ゼロクリック」とみなされており、攻撃を成功させるために標的が特定の方法で操作する必要はない。
複数のゼロデイ脆弱性も利用されており、その中には7月にiOS 14.6を実行し、完全にパッチが適用されたiPhone 12を攻撃した事例も含まれている。
報告書に記載されている攻撃は2018年5月から始まっていた。
ネットワークインジェクション
最初の攻撃カテゴリーはネットワークインジェクションです。これは、ユーザーが正当なウェブサイトから別のウェブサイトへ不審なリダイレクトされるものです。Safariの閲覧履歴には、不審なURLへのアクセスが記録されており、ウェブページを開いてからわずか1秒後にリダイレクトが発生したことが示されています。
ユーザーが正当な Web サイトにアクセスした後に疑わしい URL にリダイレクトされる Safari ログの例。
ファビコンデータベースにも同様のリダイレクトの証拠が見られましたが、必ずしもアクティブなブラウジングを介したものではありません。あるケースでは、ジャーナリストのTwitterタイムラインで共有されたリンクをプレビューする際にSafari View Serviceが使用され、別のブラウザを開いていないにもかかわらず、ウェブページが読み込まれ、疑わしいURLにリダイレクトされました。
橋頭保
プロセス実行の記録により、「bh」と呼ばれるプロセスが明らかになりました。このプロセスも Pegasus インストール ドメインにリンクされており、通常はネットワーク インジェクションの試みが成功した直後に出現します。
「bh」は、2016年にiOS JavaScriptCoreバイナリに発見された脆弱性に関連していると考えられています。この脆弱性により、コード実行が可能になり、再起動後もデバイス上で永続的にコードが保持される可能性があります。「bh」は、このコンポーネントの内部名称である「BridgeHead」の略であると考えられています。
「bh」の後には、「roleaboutd」や「msgacntd」などのプロセスが利用されます。これらは、エクスプロイトと権限昇格が成功した後に利用される後期段階のプロセスであると考えられます。他にも「pcsd」や「fmId」など、同様の目的を持つ可能性のあるプロセスが確認されています。
写真
「bh」プロセスが使用される前に「mobileslideshow」と呼ばれるフォトアプリのAppleプロセスが使用されていたことを示す証拠があり、攻撃にはフォトアプリの潜在的な脆弱性が使用された可能性があります。
Pegasus を展開するためのエクスプロイト チェーンの一部として、フォト アプリまたはフォトストリーム サービスが使用された疑いがあります。
写真アプリが使用された各ケースにおいて、フォトストリームでも同じiCloudアカウントアドレスが使用されていたようです。一部の「ゼロクリック」攻撃を成功させるには、専用のiCloudアカウントが必要となるようです。
iMessageのゼロクリックゼロデイ
2019年から、iMessageとFaceTimeに多数の脆弱性が発見され修正されましたが、一部の問題は依然として悪用される可能性があるようです。
ある攻撃では、疑わしいiMessageアカウントの参照後にPegasusプロセスが実行されたことが判明しました。複数のハンガリー人ジャーナリストが同一の攻撃者の標的となったとみられ、各攻撃で類似のアドレスとプロセスが使用されていました。
iMessageを介した攻撃は2021年に再び発生したようです。今回は、疑わしいiMessageアカウントのルックアップが行われ、続いてcoretelephonyプロセスによってHTTPリクエストが送信されました。これは「gatekeeperd」というプロセスのペイロードを要求しているようでした。
2021年5月の攻撃では、謎のiCloudアカウントを巡る同様の検索が行われましたが、その後、iPhoneのストレージに少なくとも20個のiMessage添付ファイルが作成されました。ペイロードを実行前に標的のiPhoneに適用するために、プッシュ通知が利用されたようです。
アップルミュージック
また、2020年7月にApple Musicアプリ経由でPegasusが配信された可能性があるという証拠も発見されています。この感染では、Apple Musicのネットワークトラフィックが記録されており、MusicアプリからのHTTPリクエストが再びPegasusの配信に使用されたドメインを指していました。
アムネスティは、Apple Music 自体が最初の感染に悪用されたのか、それともサンドボックスからの脱出や権限昇格に使用されたのかを判断できなかった。
ツールと支援
調査後、アムネスティはGitHubを通じてペガサスの指標を公開し、他のセキュリティ研究者がペガサスによる感染を発見できるよう支援しています。指標には、ペガサスのインフラストラクチャ内のドメイン名、iMessageアカウント検索から取得したメールアドレス、そしてペガサスに関連するプロセス名が含まれています。
「モバイル検証ツールキット」と呼ばれるツールもリリースされています。このモジュール型ツールは、Androidデバイスから取得したデータの取得と分析、そしてiOSバックアップやシステムダンプの記録の分析プロセスを簡素化し、さらなる潜在的な痕跡を発見することを目的としています。
一般ユーザーにとってリスクはほとんどない
Pegasusの詳細は、AppleのモバイルOSに依然として懸念事項があり、継続的な改善と監視が必要であることを示しています。報告書には、2021年7月という最新のものまで、数年にわたる攻撃の詳細が記載されていることから、このソフトウェアが現在も使用されており、引き続きリスクをもたらしていることが示唆されます。
7月の攻撃が、iOS 14.6を実行する、完全にパッチが適用されたiPhone 12に対して発生したという判断は、いくつかのセキュリティホールがまだ残っており、閉じる必要があることを示しているため、特に懸念されます。
しかし、Pegasusが大多数のiPhoneユーザーにとって問題となる可能性は低いでしょう。このツールは政府によって犯罪者に対する攻撃として本来の目的で使用されるものですが、無実の人々に対する攻撃は、ジャーナリストや人権活動家など、政権批判の可能性のある人々を対象としているようです。
Pegasus は懸念されるが、政府の主要な批判者でもない限り、スパイウェア ツールのターゲットにはならないだろう。
毎週配信のAppleInsider PodcastでAppleの最新情報をチェックしましょう。AppleInsider Dailyからも最新ニュースをいち早くお届けします。HomePod miniに「Hey Siri」と話しかけ、これらのポッドキャストや最新のHomeKit Insiderエピソードをリクエストしてください。
広告なしのメインの AppleInsider Podcast を体験したい場合は、Apple の Podcast アプリから月額 5 ドルで購読するか、他の Podcast プレーヤーをご希望の場合は Patreon 経由で購読することで、AppleInsider Podcast をサポートできます。
![文書はAdobeのCreative Suite 6の計画を垣間見せてくれるようだ[u]](https://image.tslro.com/imggkole/f0/1f/cs6-110121-2.webp)
