NSOグループの従業員がiOSマルウェア「ペガサス」を盗み、5000万ドルで売却しようとした疑い

iPhoneやその他のモバイル機器を悪用するツールを作成する組織であるNSOグループの不満を抱えた従業員が、同社の悪名高い「ペガサス」コードを盗み、権限のない買い手に5000万ドル以上の暗号通貨で売却しようとした疑いがある。

イスラエルに拠点を置くNSOは、スマートフォンへのアクセスを狙う政府機関や法執行機関向けに、非常に効果的なマルウェア対策ソリューションを提供しています。Motherboardの報道によると、同社のスパイウェア製品の一つ「ペガサス」が今年初めに従業員によって盗まれた疑いがあります。

イスラエルの報道機関は、起訴状を引用し、匿名の人物が2017年にNSOでシニアプログラマーとして勤務を開始したと報じています。この職位は、極めて機密性が高く、潜在的に危険なコードへのアクセスを許可していました。解雇の可能性に直面したこの人物は、NSOのソースコードのコピー（「数億ドル」相当）をダウンロードしました。

NSOは従業員による外部ストレージデバイスの使用を禁止するセキュリティプロトコルを導入しているが、この従業員は不満を抱いていたようで、これらのセキュリティ機能を無効化し、ペガサスを含むデータキャッシュを保存する方法をインターネット、特にGoogleで検索していたと起訴状に記載されている。彼の検索履歴には、サイバー機密情報をどこでどのように売却するか、そして誰が適切な買い手になるかに関する検索も含まれていた。

このキャッシュは、ダークネット上で約5,000万ドル相当の仮想通貨で売買され、その後、購入希望者が現れました。しかし、この購入希望者は取引を完了させる代わりに、NSOに盗難を通報しました。NSOは法執行機関と協力して犯人を特定しました。数日後、この従業員のアパートは家宅捜索を受けました。

報道によれば、起訴状の公表は国家安全保障上の懸念により遅れたという。

Pegasusは数年前に話題となり、iOS 9.3.5で修正されました。攻撃者はこれを利用してiPhoneにアクセスし、ほぼ無限量のデータを盗むことができました。

メッセージで受信した一見無害なリンクをクリックすると、標的のデバイスがジェイルブレイクされ、マルウェアが読み込まれて監視され、データが盗まれます。Pegasusは、Gmail、Facebook、Skype、WhatsApp、Viber、FaceTime、カレンダー、Line、Mail.Ru、WeChat、SS、Tangoなどのアプリのパスワード、メッセージ、通話、メール、ログへのアクセスを可能にしました。

iOSでパッチが適用された後、AppleはすぐにmacOS 10.11 El CapitanのSafariにもこの脆弱性を修正するパッチをリリースしました。iOS上の攻撃パッケージは、同じゼロデイ脆弱性を悪用し、ワンクリックでMacを乗っ取ることができました。