Googleの脅威分析グループによる新たな報告書は、政府が監視やスパイ活動を目的としてサービスを利用している商用監視ベンダーに焦点を当てています。Googleは現在40以上のCSVを追跡しており、そのほとんどは高度な技術を駆使しており、特にAndroidやiOSデバイスにおいて、スパイウェアやゼロデイ攻撃を開発し、標的を侵害する能力を備えています。
CSV の対象、スパイウェアの使用方法、CSV が個人や社会に及ぼす有害な影響、企業がこれらのサイバーセキュリティの脅威を軽減する方法について詳しく説明します。
商用監視ベンダーとは何ですか? また、何をターゲットにしていますか?
商用監視ベンダーは、政府機関の顧客に包括的な監視サービスを販売する企業です。これらのサービスには、スパイウェアや、侵入されたデバイスに潜むスパイウェアとの通信に必要なインフラストラクチャが含まれます。スパイウェアはデバイスへのバックドアアクセスを提供し、監視とデータ窃盗を可能にします。
Googleの脅威分析グループによると、CSVはオープンに活動しています。つまり、ウェブサイト、マーケティングコンテンツ、営業・エンジニアリングチーム、広報担当者を擁し、時にはカンファレンスにも出席しています。Googleは、世界中のCSVの数は数え切れないほどだと推定しています。また、CSVは、世間の監視を避けるため、多くの場合、暴露や直接的な法的措置への対応として、名前を何度も変更することがあります。
2015年以降、事業活動に関して報告を受けている最大規模のCSVの一つであるNSOグループは、依然として活動を継続しています。同社は悪質なサイバー活動により米国のエンティティリストに追加され、FacebookやAppleなどのテクノロジー企業から法的措置を取られているにもかかわらず、依然として活動が続いています。
CSV は何を対象にしていますか?
CSVターゲティングは、従来のサイバースパイ活動(つまり、高度な持続的脅威)とは異なり、商用監視ベンダーがネットワーク全体ではなく個人を標的とする点が異なります。そのため、このサービスは、反体制派、ジャーナリスト、人権擁護活動家、野党政治家など、個人の活動を監視またはスパイしたい人にとって非常に価値があります。Googleは以前にもこのようなターゲティングについて記事を書いています。例えば、2022年には、Androidユーザーに影響を与える5つのゼロデイ脆弱性が少なくとも8つの政府によって悪用され、選挙候補者に対して攻撃されました。
参照:2024年版 高度な脅威対策ツールとソフトウェア トップ8(TechRepublic)
スパイウェアはほとんどのCSVで使用される主な方法です
スパイウェアとは、デバイスにインストールされる悪意のあるソフトウェアです。デバイス所有者に気付かれることなく、スパイウェアはユーザーのデータを収集し、それをコントローラー(つまりCSVの顧客)に送信します。CSVは、顧客が主にSMS、メッセージ、メール、位置情報、通話履歴、さらには音声/動画の録画を収集することを望んでいるため、モバイルデバイス向けスパイウェアを開発することがよくあります。
スパイウェアは、コンピュータやスマートフォンなどのデバイスを侵害するために、一般的にソフトウェアの脆弱性を悪用します。この初期段階では、ユーザーの操作が必要となる場合があります。例えば、スパイウェアが1クリックエクスプロイトを使用する場合、リンクをクリックしたりファイルを開くなど、少なくとも1回のユーザー操作が必要になります。しかし、さらに価値が高いのはゼロクリックエクスプロイトです。これはユーザー操作を一切必要とせず、標的のデバイスにスパイウェアを密かにインストールするために使用できます。
さらに、いくつかのCSVは非常に高度な技術的専門知識を備えており、ゼロデイ脆弱性を利用してデバイスに感染させる能力を備えています。ゼロデイ脆弱性が発見され、ベンダーによって修正された場合、CSVは顧客に新たな脆弱性を提供します。
参照:ESET脅威レポート:Android SpinOk SDKスパイウェアの蔓延とその他(TechRepublic)
CSV によって開発されるスパイウェアは主に携帯電話をターゲットとするため、Android または iOS オペレーティング システム、あるいはその上で実行されるソフトウェアの脆弱性を悪用することがほとんどです。
スパイウェア業界の4つの主要カテゴリー
- 民間の攻撃者とも呼ばれる商用監視ベンダーは、初期の侵害サービス、実用的なエクスプロイトの提供、データ収集ツールなど、スパイウェアとそのインフラストラクチャを開発し、販売しています。
- 政府機関のお客様は、監視目的の達成に必要なサービスを得るためにCSVにアクセスします。お客様は標的を選択し、マルウェアを配信するキャンペーンを立案し、監視とデータ収集を行います。
- CSVが実際に動作するエクスプロイト、特にゼロデイエクスプロイトを入手する主な源は、個人の脆弱性研究者やエクスプロイト開発者です。これらの個人の中には、防御者として活動し、ソフトウェアセキュリティの向上に貢献することで合法的にスキルを収益化している者もいれば、脆弱性や関連するエクスプロイトをCSVやエクスプロイトブローカーに直接販売する者もいます。一部のCSVは、脆弱性調査や関連するエクスプロイトの開発を社内で行える能力を備えています。
- エクスプロイトブローカーおよびサプライヤーは、エクスプロイトの販売を専門とする個人または企業です。CSVの中には自社でエクスプロイトを開発できる企業もありますが、多くの場合、サードパーティからエクスプロイトを購入することでそれを補っています。Googleの研究者は、ブローカーがプロセスのあらゆる段階で、販売者、購入者、CSV、政府機関の顧客の間で仲介役を務めることができると指摘しています。
Google製品はCSVの標的になりやすい
Google によれば、Chrome や Android エコシステムなどの Google 製品を標的とした既知のゼロデイ攻撃の半数は CSV が原因であるとのことですが、CSV は主に Android または iOS の携帯電話を標的としたスパイウェアを実行するため、これは驚くべきことではありません。
2014 年半ばから 2023 年までに、実際に使用されているゼロデイ攻撃が 72 件、セキュリティ研究者によって発見されました。この 72 件のエクスプロイトのうち 35 件は CSV に起因するものでしたが、まだ発見されていないエクスプロイトや原因が不明なエクスプロイトも存在する可能性が高いため、これは下限の推定値です。
Googleの脅威分析グループは、CSVに起因するものも含め、ゼロデイエクスプロイトの発見が加速していることを確認しています。2019年から2023年にかけて53件のゼロデイエクスプロイトが発見され、そのうち33件はCSVに起因するものでした。
CSVは数百万ドルかかることもある
CSVのサービス価格は数百万ユーロに達することもあります。例えば、2022年には、アムネスティ・インターナショナルが、サイバー犯罪フォーラムXSS.isから流出したCSV Intellexaの商用提案書を暴露しました。この提案書では、AndroidとiOSのサポート、同時感染デバイス10台以上などを含むCSVのフルサービスを1年間、800万ユーロで提供していました(図A)。
追加のCSVサービスをご購入いただけます。例えば、スパイウェア「Predator」の場合、パーシステンス機能を追加すると、基本プランより300万ユーロ高くなります。パーシステンス機能により、スパイウェアをシャットダウンして再起動しても、携帯電話に常駐させることができます。
CSV によって引き起こされた報告された被害と潜在的な被害
従来のサイバースパイ活動では、一般的にネットワークやコンピューターからデータを盗みますが、スパイウェアとは異なり、携帯電話からデータを盗むことはあまりありません。
CSV によって引き起こされる害に関する Google レポートからの 2 つの例を以下に示します。
国際アドボカシー担当官のマリア・ルイサ・アギラール・ロドリゲス氏と、メキシコシティに拠点を置く人権団体Centro PRODHの代表サンティアゴ・アギーレ氏は、CSVの顧客から攻撃を受けたことを「恐ろしかった」と回想している。アギーレ氏は、ラジオの地元ニュースで自分の声が聞こえた。まるで地元のカルテルと結託しているかのようだった。音声はすべて彼の携帯電話から盗まれ、複数の通話から大幅に編集されていた。
亡命中のロシアメディア「メドゥーザ」の共同創設者兼CEO、ガリーナ・ティムチェンコ氏は、2023年2月頃にCSVの標的となった。彼女は「数週間にわたって彼らは私の通信に完全にアクセスでき、私の親しい友人や同僚、そしてメドゥーザのパートナーたちの身の安全を心配していました」と綴っている。その後、ペガサス・スパイウェアにハッキングされた記者数名が殺害されたことを知り、友人や知人だけでなく、自身の身の安全も不安になった。
さらに、スパイウェアの使用は社会全体に影響を及ぼす可能性があります。政治候補者を標的とした場合、「自由で公正な選挙を実施する社会の能力を脅かす」とGoogleの脅威分析グループは述べています。
脆弱性研究者がCSVから保護する方法
脆弱性調査分野の関係者は、ソフトウェアベンダーに脆弱性を報告し、ゼロデイ脆弱性へのパッチ適用を促すことで、CSVからの保護に貢献しています。しかし、最初の報告からパッチのリリースまでの対応には、数週間から数ヶ月かかる場合があります。ゼロデイ脆弱性がパッチ適用されるたびに、ユーザーと企業は保護されるだけでなく、CSVが顧客との契約を履行できなくなり、顧客への支払いが滞り、運用コストも増大します。
企業がスパイウェアの脅威を軽減する方法
セキュリティ上の脅威のリスクを軽減するために企業が実行すべき手順は次のとおりです。
- すべての従業員のモバイル デバイスにモバイル セキュリティ ソリューションを実装します。
- 従業員に対し、モバイル端末における侵害行為、特にリンクをクリックしたりファイルを開いたりする必要があるワンクリック攻撃を検知するためのトレーニングを実施してください。疑わしいファイルは、サンドボックス内、またはホストおよびネットワークセキュリティソリューションをフルに活用した環境でのみ開くようにしてください。
- ゼロクリック攻撃による侵害を回避するために、モバイル オペレーティング システムとモバイル ソフトウェアのセキュリティ パッチをできるだけ早く展開してください。
- 可能であれば、携帯電話に機密データを保存しないでください。
- 機密性の高い会議中は携帯電話の電源をオフにして、侵害されたデバイスによって会話が傍受されるのを防ぎます。
編集者注: TechRepublicは、このスパイウェア研究に関する追加情報を得るためにGoogleに連絡を取りました。詳細情報が得られ次第、この記事を更新します。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
