マイク・ワーテル
· 1分で読めます
ウィキリークスが公開した CIA「Vault 7」文書の 2 回目のバッチでは、CIA が使用している Mac ハードウェアへの侵入方法がいくつか公開されていますが、そのいずれも広範囲に及ぶものではなく、実行には物理的なデバイスへのアクセスが必要です。
木曜日に公開されたダンプは最初のものより大幅に規模が小さく、Apple製品向けで、ブートプロセスを制御するEFIルーチンへの攻撃を利用したmacOSの脆弱性と攻撃ベクトルをいくつかカバーしています。「DarkSeaSkies」はMacBook Airを標的とし、「DarkMatter」と呼ばれるEFIインジェクションを導入します。このインジェクションはその後、「SeaPea」カーネル攻撃と、「NightSkies」マルウェアおよびキーロギングパッケージをインストールします。
DarkSeaSkies パッケージは、「Sonic Screwdriver」によって配布されます。これは、2014 年に初めて発見され、2015 年に修正された Thunderbolt の脆弱性を利用した、USB フラッシュ ドライブまたは改造された Thunderbolt から Ethernet へのアダプタのいずれかです。
「NightSkies」の派生版も2008年まで遡ってiPhone向けに提供されており、WikiLeaksによると「郵便注文やその他の配送を阻止」することでインストールできるが、それでもリモート攻撃ではないという。
木曜に公開された他の文書には、OS X Mavericks への侵入を試みるために使用される「DerStarke」パッケージが、少なくとも 2016 年の一部を通じてまだ開発中である可能性があることが記載されています。このパッケージは EFI の侵害にも対処していますが、MacBook Air 特有の「SeaPea」ベクトルほど開発が進んでいないようです。
WikiLeaksはEFIエクスプロイトが再起動後も存続すると指摘していますが、実際には、対策を講じなければ再起動後に再インストールされます。Appleのファームウェアアップデートにより、このエクスプロイトは永久に削除されるようですが、マシンに物理的にアクセスできる人物によって再感染させられる可能性があります。
漏洩したコンピュータ侵入手法の責任を負っているCIAサイバーインテリジェンスセンター(CCI)は、5,000人以上のメンバーを擁しているとされています。このグループは、スマートテレビを含むiOS、Windows、Androidデバイスを対象に、世界中で1万人以上を標的にしているとされています。
3月7日に公開された前回の情報は8,761個のファイルに及び、14件のiOSエクスプロイトと侵入手法が含まれていました。今回のダンプは、Appleハードウェアを特に標的としていることが特徴的です。これは、WikiLeaksが自らの意図のみで行った、標的を絞った公開です。
しかし、前回のWikiLeaksの暴露と同様に、AppleInsiderの読者の大半は影響を受けていません。漏洩されたCIAの攻撃は依然として広範囲に及ぶものではなく、公開されたエクスプロイトのほぼすべてが機器への物理的なアクセスとインストール時間を必要としています。
