危険なPegasusスパイウェアが45か国で蔓延
報道によるとiPhoneやAndroidを狙うことで悪名高いPegasusスパイウェアが、世界45か国に渡って浸透している。さらにそのうちの6か国は調査にマルウェアを使用し、人権を侵害した記録があると18日研究チームは発表した。
Citizen Labの研究チームは2016年から2018年に渡る巨大研究プロジェクトの一環としてインターネットをスキャンし、Pegasusモバイルソフトウェアに関係があるサーバを探りだした。今回世界中に拡散している国家レベルのマルウェアは、イスラエルに拠点を持つNSO Group社から発信されていた。
「チームが探知したPegasusサーバの数は2016年の200機から、2018年のほぼ600機まで膨らみました。NSO Groupの稼働がスケーリングアップしたことが分かるでしょう」と、Citizen Labの上級博士研究員であり、チームの一員であるBill Marczak氏がThreatpost記者に語った。
Pegasusは2016年8月から活動し、NSO Groupがモバイル用スパイウェアとして政府やサードパーティに販売していたことが判明している。取引相手はメールの傍受、通話の探知、パスワードの収集、居場所の特定、感染機器のアプリからデータ盗難を目的にしていた。
Pegasusは専用に作られたエクスプロイト用リンク(フィッシング技術を応用した)をクリックすると、連続のゼロデイ攻撃で機器のセキュリティ機能を突破し、拡散するのが常套である。Citizen Labの調べではPegasusは更に広範囲に渡って感染を広げており、一部の国は人権侵害の目的で使用している疑いが持たれている。
中東各国が参加しているGCC(湾岸会議:Gulf Cooperation Council)による使用が拡大している懸念もあり、特に反対勢力の追跡に使われている。例としてUAEアクティビストAhmed Mansoor氏は2016年にPegasusのターゲットにされ、さらにアムネスティ・インターナショナル局員やサウジのアクティビストが2018年6月に狙われていた。
「我々の研究ではNSOの世界的拡散による人権侵害リスクの暗い予想図を描くことになりました。最低でもPegasusを積極的に運用している6か国は過去にスパイウェアでシビル・ソサエティを狙っていた濫用の疑いがあります。その中にバーレーン、カザフスタン、メキシコ、モロッコ、サウジアラビア、アラブ首長国連邦があります」
Pegasusは2017年中にも同様に濫用されていた。これを発見したのは数十人のメキシコ人記者と弁護士(更に子供すら含む)が所持している機器が、選挙期間中Pegasusに感染していたことから発覚した。これは国家による犯行ではないかという説もある。
Bill Marczak氏からすれば、Pegasusの市民権侵害は今後の展開の兆しが見えるという。「政府がスパイウェア産業を更に厳しく取り締まらない限り、シビル・ソサエティは今回のような洗練された調査手口のターゲットになると、だんだん気づくようになるでしょう」
2016年8月から2018年8月までの間を通して、1091のIPアドレスと1014のドメインネームが問題のエクスプロイト用リンクとPegasusのC2(command-and-control)サーバの挙動とマッチしていることをチームは発見した。
各種Pegasusオペレータを探知するため、Citizen Labに属する研究員はdubbed Athenaという画期的技術を開発した。これはマッチした個別のオペレータが稼動していると思しきスパイウェアサーバを36機Pegasusシステムにクラスタ化する。次にチームは世界にある数万のISPのDNSキャッシュを調査した。感染した機器はISPのDNSサーバを利用して、定期的にオペレータのサーバのドメインネームを探知していると推測している。
「各オペレータがスパイ活動をしていたのはどの国かを特定できるよう、当社はドメインネームのマッチングで世界のDNSキャッシュの検証研究を設計し、実行しています。当社の技術により、Pegasusオペレータが調査作業を行っていたと思しき45か国を特定しました。最低でも10のPegasusオペレータは数か国に渡った調査活動に割り当てられているようです。
Pegasusの潜伏が見つかった45か国
アルジェリア、バーレーン、バングラデシュ、ブラジル、カナダ、コートジボワール、エジプト、フランス、ギリシア、インド、イラク、イスラエル、ジョルダン、カザフスタン、ケニア、クウェート、キルギス、ラトビア、レバノン、リビヤ、メキシコ、モロッコ、オランダ、オマーン、パキスタン、パレスチナ、ポーランド、カタール、ルワンダ、サウジアラビア、シンガポール、南アフリカ、スイス、タジキスタン、タイ、トーゴ、チュニジア、トルコ、アラブ首長国連邦、ウガンダ、イギリス、アメリカ、ウズベキスタン、イエメン、ザンビア
興味深いことに、研究チームはアメリカのIPスペースの感染例をいくつか発見したが、このPegasus顧客はアメリカと関係がない。これは国家を跨って感染していることを示唆している。
Citizen LabがNSO Groupに研究結果を提出すると、NSOは声明文を発表した。
「Citizen Labの研究には数多くの問題があります。特に顕著なのは、NSO社が関与していたと疑われている国々のリストは単に不正確です。NSO社はリスト内の国の多くでは営業しておりません。Pegasusは当社のBEF(業務倫理フレームワーク:Business Ethics Framework)に準ずる国での動作だけライセンシングしており、認められていない国で動作することはありません」
しかしながら、Citizen Labの研究者たちはこの声明を否定すると共にこう述べた「人権侵害の問題がある記録を持ち、相当にスパイウェアの濫用が喧伝されている国々に対してサービスを継続して提供することで、内部メカニズムの効果について深刻な疑義が生じています。そもそも存在していれば、という話ですが」