イスラエルの監視会社 NSO Group は、WhatsApp の脆弱性を利用し、ゼロクリック攻撃で Pegasus スパイウェアを展開するために、”Erised” と名付けられた未知のものを含む複数のゼロデイ・エクスプロイトを、訴えられた後にも使用していたと報じられている。
PegasusはNSO Groupのスパイウェアプラットフォーム(世界中の政府向けに監視ソフトウェアとして販売)で、複数のソフトウェアコンポーネントにより、被害者の侵害されたデバイスに対する広範な監視機能を顧客に提供する。例えば、NSOの顧客は、被害者の携帯電話にインストールされたペガサス・エージェントを使って、被害者の行動を監視し、情報を引き出すことができた。
イスラエルのNSOグループとWhatsAppの法廷闘争の一環として木曜日に提出された 法廷 文書(Citizen Labのシニアリサーチャー、ジョン・スコット・レイルトンが最初に発見)によると、スパイウェアメーカーは2018年4月以前に「Heaven」と名付けられたエクスプロイトを開発し、公式クライアントになりすますことができる「WhatsApp Installation Server」(または「WIS」)と呼ばれるカスタムWhatsAppクライアントを使用して、NSOの管理下にあるサードパーティーサーバーからターゲットのデバイスにPegasusスパイウェアエージェントを展開した。
しかし、WhatsAppは2018年9月と12月に発行されたセキュリティアップデートでNSOの感染端末とそのサーバーへのアクセスをブロックし、Heaven exploitが機能しないようにした。
2019年2月までに、スパイウェアメーカーは、2018年に実装されたWhatsAppの保護を迂回する「Eden」と呼ばれる別のエクスプロイトを開発したとされる。WhatsAppが2019年5月に発見したように、Edenは約1,400台のデバイスに対する攻撃でNSOの顧客によって使用された。
敷居の高い問題として、NSOは訴状に記載されているスパイウェアを開発・販売したこと、そしてNSOのスパイウェア、特に『Hummingbird』と総称されるWhatsAppベースのベクター群(以下、総称して『マルウェアベクター』)の一部である『Eden』と呼ばれるゼロクリックでインストールできるベクターが攻撃に関与していたことを認めている」と裁判資料で明らかにされている。
NSOの研究開発責任者であるTamir Gazneliと「被告らは、WhatsAppのコードを抽出・逆コンパイルし、WhatsAppをリバースエンジニアリングすることでこれらのエクスプロイトを開発し、WhatsAppサーバを通じて不正なメッセージ(正規のWhatsAppクライアントでは送信できない)を送信し、ターゲット端末にPegasusスパイウェアエージェントをインストールさせるWISクライアントを作成したことを認めている。
攻撃を検知した後、WhatsAppはEdenの脆弱性にパッチを適用し、NSOのWhatsAppアカウントを無効化した。しかし、2019年5月にEdenエクスプロイトがブロックされた後も、NSOはWhatsAppのリレーサーバーを使用してPegasusスパイウェアをインストールする、さらに別のインストールベクター(「Erised」と命名)を開発したことを認めたと裁判資料は述べている。
訴訟提起後もWhatsAppユーザーが標的に
新たな法廷文書によると、NSOは2019年10月の訴訟提起後も、WhatsAppの追加変更によって2020年5月以降にアクセスがブロックされるまで、Erisedを使用し続け、顧客に利用させていたという。NSOの証人は、スパイウェア・メーカーがWhatsAppベースのマルウェアをさらに開発したかどうかについて回答を拒否したとされる。
また、スパイウェアベンダーは法廷で、同社のスパイウェア「Pegasus」がWhatsAppのサービスを悪用し、監視ソフトウェアエージェントを「数百から数万台」のターゲットデバイスにインストールしたことを認めたという。また、この機能を開発するためにWhatsAppをリバースエンジニアリングし、クライアントのために「技術」をインストールし、攻撃に必要なWhatsAppアカウントを提供したことも認めたv。
スパイウェアのインストールは、ペガサスの顧客がラップトップ上のプログラムのフィールドにターゲットの携帯電話番号を入力することで開始されたとされている。
ペガサスの顧客は、ターゲットの電話番号を入力し、”インストール “を選択するだけでよかったため、ペガサスの顧客による操作への関与は限られていた。スパイウェアのインストールとデータ抽出は、NSOのペガサス・システムによってすべて処理されたため、技術的な知識も必要なく、顧客はそれ以上何もする必要がなかった。
しかし、NSOは、顧客の行動には責任を負わず、ペガサス・スパイウェアのインストール中に取得されたデータにもアクセスできないとしており、監視業務におけるNSOの役割は限定的である。
NSOのPegasusスパイウェアは、カタルーニャの政治家、ジャーナリスト、活動家、英国政府高官、フィンランドの外交官、米国務省職員の電話をハッキングするために使用された。
2021年11月、米国はNSO GroupとCandiruに対し、政府高官、ジャーナリスト、活動家をスパイするためのソフトウェアを提供したとして制裁を科した。2021年11月初旬、アップルもまた、スパイウェア「ペガサス」を使ってアップル顧客のiOSデバイスをハッキングし、スパイ行為を行っていたとして、NSOを提訴した。
NSOグループの広報担当者は、本日早朝に連絡を取ったが、すぐにコメントは得られなかった。
Comments