NSOのPegasusスキャンダル。Zero-Day, Zero-Click, Zero-Privacy?

Pegasus神話からマルウェアへ

2021年7月18日、Project Pegasusに関するスキャンダルにより、謎に包まれていたNSOグループが再び世間の注目を浴びることになりました。Pegasusは、NSOグループが開発したスパイウェアプログラムで、モバイル機器の監視を目的とした代表的なサイバー兵器です。

このマルウェアは世界中に配布され、禁断の物語が報じているように、「NSOクライアントによって携帯電話がターゲットとして選択された世界中の200人近くのジャーナリスト」の直接的な監視に使用されています。世界各国の政府は、国家安全保障を名目に、ジャーナリストや活動家、政敵に圧力をかけるためにこのプログラムを購入しています。

このようにメディアの関心が高まっているにもかかわらず、Pegasusは国際的な監視の現場では目新しい存在ではない。アムネスティ・インターナショナルの「Forensic Methodology Report」によると、Pegasusの普及は早くも2016年に始まり、2021年の現在も続いています。

ペガサスの仕組み

2016年、人権活動家のAhmed Mansoorは、自分のiPhoneにテキストメッセージを受信しました。Citizen Labがさらに調査したところ、これはPegasusマルウェアを彼のデバイスにインストールしようとする典型的なスピアフィッシング詐欺であることが判明しました。「もし彼がリンクをタップしていたら、携帯電話は略奪されていたでしょう。テキストメッセージ、写真、電子メール、位置情報、さらにはデバイスのマイクやカメラで撮影されたものまで、膨大な量の個人情報が盗まれていました。

2019年現在、Pegasusはもはや、被害に遭うためにその不審なリンクをタップするターゲットを必要としません。NSOは、WhatsAppや最近ではiMessageなどのメッセージング・プラットフォームのゼロデイ脆弱性を繰り返し悪用してきました。NSOは、WhatsAppや最近ではiMessageなどのメッセージングプラットフォームのゼロデイ脆弱性を繰り返し利用しています。現在のPegasusは、バージョン14.6またはそれ以前のiOSデバイスに感染します。このプログラムは、デバイスに感染すると、すぐにルート権限を確立します。Pegasusを利用した攻撃者は、デバイスを完全に制御することができます。

あなたがNSOグループの顧客に興味を持った場合、彼らが必要としたのはあなたの電話番号だけで、あなたのデバイスを感染させることができます。Pegasusは、リンクをクリックしたり、ファイルをダウンロードしたりしなくても、AndroidやiOSデバイスにリモートでインストールされます。アムネスティ・インターナショナルによると、「複数のゼロデイを悪用して、2021年7月にiOS 14.6を実行している完全にパッチが適用されたiPhone 12を攻撃する『ゼロクリック』攻撃の成功が確認されている」とのことで、これらのエクスプロイトの全リストは、アムネスティ・インターナショナルのフォレンジック手法報告書に掲載されています。

Apple社は7月19日にiOSバージョン14.7をリリースし、現在、世界は次のゼロデイが発見されるまでカウントダウンしています。その間に、Pegasusマルウェアに感染したデバイスかどうかを判断するために使用できるMobile Verification Toolkitという新しいツールがリリースされました。しかし、このツールキットは使用方法が複雑です。

サイバー兵器産業の成長

これらの最近の情報開示を受けて、私たちは成長するサイバー兵器産業を垣間見ることになります。この技術はウイルスのようなものです。この技術は、スマートフォンに感染して所有者をスパイするというウイルスのようなものです。それだけではなく、このウイルス技術は誰にでも定期的に販売されています。

このソフトウェアを見つけるために、怪しげなウェブサイトをあさる必要はありません。NSOグループは、誰もが見ることのできる他の政府系企業と同じように運営されています。検索すれば、"nsogroup.com "にたどり着きます。ここでは、大量監視兵器の価格や潜在的な割引に関する問い合わせをNSO Groupに行うことができます。NSOグループのウェブサイトのメインバナーは、現在「Eclipse:これは、「許可されていない商用ドローン」を乗っ取って没収するために使用できるドローンプラットフォームです。

この大胆な広告は、かつてはダークネット市場やハッキングフォーラムに存在していた業界の合法性が高まっていることを示しています。

しかし、NSOグループのように政府機関との協力が認められている組織と、ランサムウェアプログラムの配布で起訴されたハッカー集団DarkSideとの間には、どのような違いがあるのだろうか。

それは、顧客の問題に過ぎないと思われます。

プライバシーを脅かすPegasus

Pegasusと監視産業の台頭は、ジャーナリスト、政治活動家、そしてあなたのような市民に計り知れない脅威を与えています。セキュリティの脆弱性はなくならないし、完璧なセキュリティなど存在しません。では、今回のスキャンダルを受けて、私たち一般人は、自分のデバイス、プライバシー、個人情報を守るために何ができるのでしょうか。アムネスティ・インターナショナルのセキュリティラボのクラウディオ・グァルニエリは、セキュリティの専門家として自身のウェブサイトでSecure Connectを利用しているが、 ガーディアン紙に語った内容は、決して楽観的なものではなかった。

「この質問は、フォレンジック調査をするたびに聞かれる質問です。"このようなことが二度と起こらないようにするためにはどうしたらいいですか？

ドイツ。Pegasusの使用は違法になる

負け惜しみで終わってしまうかもしれませんが、この事件にはいくつかの希望の光があります。ドイツ当局がこのスパイソフトを購入して使用したかどうかについてNDRとWDRが質問したところ、ドイツ政府関係者は次のように答えました：「『Pegasus』はschlichtweg zu mächtig, zu potent.Der Trojaner kann viel mehr, als es die deutsche Gesetzeslage erlaubt." (Pegasusは単純に強力すぎる、強力すぎる。このトロイの木馬は、ドイツの法律で認められている以上のことができるのです)。

その結果、NSOグループがPegasusを販売しようとしたとき、ドイツ当局はPegasusを拒否しました。

ドイツ当局のこのような姿勢は、他のグローバルな情報機関や法執行機関が「今すぐスパイして、法律は後で変える」というアプローチをとっていることと比較すると、賞賛に値します。ドイツの例は、侵襲的で不必要な監視行為を法律で制限できることを示しています。強力な個人情報保護法がこれらの機関に責任を負わせることができれば、投票権を持つすべての市民は、大量の監視に反撃する手段を持つことができるのです。

政府の領域を超えて、ハイテク大手のアマゾンは、「イスラエルの監視会社NSOグループに関連するインフラとアカウントを停止した」としています。これが批判を避けるための単なるPR活動なのか、それともプライバシーに対する真の懸念なのかは別として、この行動は、大量監視に対する否定的な世論に対する懸念がまだあることを示しています。

サイバー兵器の使用を禁止すべき

私たちは、これらのサイバー兵器企業をそのように扱う必要があります。彼らは、脅迫と沈黙のためのツールを製造・販売しています。これらの武器は、コストをかけられる人なら誰でも簡単に手に入れることができます。PGPの生みの親であるフィリップ・ジマーマンが、安全な通信手段を提供することだけを目的とした無料の暗号化プログラムを公開したところ、武器輸出規制法に違反している可能性があるとして、米国税関から調査を受けたことは記憶に新しいところです。

個人のプライバシーを守ることで連邦政府の調査を受け、プライバシーを完全に無視することで資金提供を受けるというのは、スキャンダラスなことです。

エドワード・スノーデン氏はガーディアン紙のインタビューで、次のように述べています。「特定の産業、特定の分野では、保護されないものがあります。私たちは、核兵器の商業市場を認めていません」。

大多数のインターネットユーザーがこのプログラムの対象になることはありませんが、自分に注目が集まることを恐れる人々には冷ややかな影響があります。政府の監視を恐れる注目のターゲットは、ペガサスのようなスパイツールによる持続的な追跡を防ぐために、定期的にデバイスや電話番号を切り替えることを勧められるだろう。

スノーデン氏は、このインタビューの最後に、拡大する監視産業に対する連帯と活動を呼びかけました。これは、個人で解決しようとする問題ではありません。自分と10億ドル規模の企業との戦いなのですから...。自分の身を守りたければ、ゲームを変えなければなりません。そのためには、この取引を終わらせることです」。

プライバシーを第一に考える企業として、私たちは国際的な議員や投票する人々に、これらのサイバー兵器の販売を禁止することを支持するよう呼びかけます。核兵器に消費者市場が存在しないように、ソフトウェアエクスプロイトやマルウェアを公然と販売する市場があってはなりません。