マイク・ピーターソン
· 1分で読めます
NSOグループのスパイウェアは国家レベルのスパイウェアに匹敵する
Google のセキュリティ研究者が NSO Group のゼロクリック iMessage を詳細に調査し、同社の攻撃の巧妙さを明らかにした。
GoogleのProject Zeroによると、活動家やジャーナリストを標的にするために使用されているForcedEntryゼロクリックエクスプロイトは、「これまで目にした中で最も技術的に高度なエクスプロイトの一つ」です。また、NSOグループの能力が国家レベルの攻撃者に匹敵することを示しています。
Appleは、2021年9月中旬にiOS 14.8で、CVE-2021-30860と指定されたゼロクリックエクスプロイトを修正しました。
このエクスプロイトは、標的がリンクをクリックすることに依存するいわゆるワンクリック攻撃をはるかに超えていた。Project Zeroは、NSOグループが開発したPegasusソフトウェアの最初の侵入口が、Appleの暗号化メッセージングプラットフォームであるiMessageであると指摘している。「つまり、被害者は電話番号やApple IDのユーザー名だけで攻撃対象になり得る」と研究者らは述べている。
メッセージがユーザーに送信されると、このエクスプロイトはiMessageがGIF画像などのファイルを受け入れ、デコードする方法に存在する脆弱性を悪用しました。そして、ユーザーによる操作なしに悪意のあるPDFファイルを開くようにプラットフォームを誘導しました。
より具体的には、この脆弱性は画像内のテキスト認識に使用される従来の圧縮ツールに存在していました。しかし、この脆弱性が悪用されると、NSOグループの顧客はiPhoneを完全に制御できるようになりました。
攻撃の巧妙さは、当初のエクスプロイトにとどまりませんでした。Project Zeroによると、ForcedEntryはサーバーと直接通信するのではなく、独自の仮想化されたコマンド&コントロール環境を構築していました。これにより、検出がさらに困難になりました。
NSOグループが作成したForcedEntryのような攻撃は、政府機関がジャーナリスト、活動家、反体制派を標的にするために何度も利用されてきました。少なくとも1件の事例では、NSOグループのスパイウェアが米国国務省職員を標的とした攻撃に使用されました。
Appleは昨年11月、iPhoneユーザーを監視するNSOグループを提訴し、責任追及を求めました。12月には、訴訟や批判の圧力を受け、NSOグループがスパイウェア「Pegasus」の廃止を検討しているとの報道がありました。
