イスラエルの監視ソフトウェア「ペガサス」が感染したiPhoneのクラウドデータを標的に

イスラエルの企業NSOグループは、数百万ドル規模の監視ツール「ペガサス」の最新版では、感染したiPhoneやAndroidスマートフォンからiCloud、Googleドライブ、Facebookメッセンジャーなどのクラウドサービスからデータを抽出できるようになったと主張している。

フィナンシャル・タイムズが昨日公開した有料記事によると、このアプリは最新のiPhoneやAndroidスマートフォンで動作し、脆弱性を利用してユーザーがツールを削除した後でも動作し続けるという。

この新たな手法は、Googleドライブ、Facebookメッセンジャー、iCloudなどのサービスの認証キーを感染した携帯電話からコピーし、別のサーバーが位置情報を含む携帯電話を偽装できるようにするとされている。ある販売資料によると、これにより「標的のデバイスで2段階認証を促したり警告メールを表示したりすることなく」、これらのアプリのクラウドデータへの無制限のアクセスが可能になるという。

認証トークンの盗難は、ユーザー名、パスワード、2段階認証コードを入力せずに他人のクラウドアカウントにアクセスするための古くからある手法です。iOSがローカルデータの保護に使用する暗号化キーとは異なり、これらの認証トークンは、システムの他の部分から隔離されたAppleのSecure Enclaveに保存されません。

Apple の回答は次のとおりです。

iOSは世界で最も安全でセキュアなコンピューティングプラットフォームです。ごく少数のデバイスを標的とした攻撃を実行するための高価なツールは存在するかもしれませんが、これらは消費者に対する広範囲な攻撃には役立たないと考えています。

興味深いことに、Appleはそのような機能が存在する可能性を否定していない。同社は、ユーザーを保護するためにモバイルOSとセキュリティ設定を定期的にアップデートしていると付け加えた。

NSOグループはクラウドサービス向けのハッキングや大規模監視ツールの推進を否定したが、文書に記載されている機能を開発したことについては具体的には否定しなかった。

重要なのは、このツールは「ペガサスが感染できる」あらゆるデバイスで機能するという点だ。

NSOの親会社であるQ-Cyberが今年初めにウガンダ政府向けに作成したある売り込み文書では、ペガサスが「クラウド金庫を開ける鍵を取得する」能力と「データを独立して同期・抽出する」能力を持っていると宣伝されていた。

「クラウドエンドポイント」へのアクセスは、盗聴者が「スマートフォンのコンテンツをはるかに超えて」アクセスし、複数のアプリやサービスから標的に関する情報を「入手」できることを意味すると、セールストークでは主張されている。数百万ドルかかるこのサービスをウガンダ政府が購入したかどうかはまだ明らかではない。

NSO グループの主張は鵜呑みにしないでください。

Appleのカスタム設計チップと、iPhoneやiPadを動かすiOSソフトウェアのセキュリティ機能を回避できるという大胆な主張がなされたのは、今回が初めてではありません。法執行機関がそのようなソフトウェアの使用権を得るために数百万ドルもの料金を支払うことを躊躇しないのは事実です。また、FBIがサンバーナーディーノ銃乱射事件の犯人の携帯電話のロックを解除するために、最終的にペガサス社に依頼したことも事実です。しかし、このiPhoneは、完全なディスク暗号化とディスク暗号化キーのハードウェア保護を提供するAppleのSecure Enclave暗号化コプロセッサを搭載していない古いiPhoneだったことも事実です。

Pegasusのようなツールは、最近のiPhoneでさえハッキングに使われた可能性がありますが、それはユーザーがマルウェアを含んだ不正アプリをインストールしてしまうという愚かな行為に過ぎません。他にも、目に見えないVPNをインストールしてネットワークトラフィックを盗聴したり、脆弱なパスコードを解読したり、ユーザー側の重大な見落としを悪用して攻撃ベクトルを開くといった手法があります。

Pegasus が iOS の脆弱性を悪用してクラウドデータにアクセスすることはないようです。