orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

ゼロクリック攻撃とは何か

f:id:orangeitems:20210727103424j:plain

 

Yahoo!ニュースのトップにゼロクリック攻撃の話が載ったので、そろそろいろんな情報システム担当が「君、ゼロクリック攻撃って知ってる?」と質問される頃じゃないでしょうか。知りません、とは言えませんよね。

「私のスマホ、大丈夫かな?」と言われ、「iPhoneならAppleがきちんとしてるから大丈夫ですよ」なんて適当な返しをしつつ、「え、ゼロクリックってことはやばいんじゃないの?」なんて違和感をこねくり回していることうけあいです。

そうですね、ゼロクリック攻撃ということは、ユーザーがリンクを踏んだり、不正なプログラムをダウンロードして実行するような、何らかのアクションが全く不要ということです。ユーザーが知らないうちに勝手に不正なプログラムが侵入し、知らないうちに第三者に重要なデータを抜き取られるという始末です。電話の履歴やらメッセージやら写真やら何からです。

で、このゼロクリック攻撃において、まずおぼえて頂きたいのは「ペガサス」というソフトウェアです。ありがちな出元不詳ではなく、なんとイスラエルNSO Groupという会社が販売しているというのです。NSO Group曰く、合法的なテロ対策のために販売していたのだと。しかし購入した側がその通り使うかは保証できるわけがありません。結果として、世界中の人権活動家、弁護士、ジャーナリスト、政治家などが被害を受けているという報告が上がっています。

さて、このペガサスですが、いったいどうやってゼロクリック攻撃を成功させているのでしょうか。これにはいろいろな噂があるので展開していきます。

 

gigazine.net

Pegasusの感染経路に利用されていたWhatsAppは、2019年時点で「NSO Groupが開発した技術によるハッキング」に気づいていました。WhatsAppは「2019年4月末から5月中旬までの2週間で、20カ国・1400人以上のWhatsAppユーザーのスマートフォンが、NSO Groupが開発した技術によって攻撃された」と主張し、裁判所に対して「NSO GroupがWhatsAppおよびFacebookのシステムにアクセスすることを永久に差し止めること」を要求しました。

 

japanese.engadget.com

アムネスティの報告書では、実際に使われてきたPegasusの亜種につき事細かに説明されています。まず2019年には写真アプリのバグを利用し、iCloud Photo Streamサービスを介してiPhoneを制御できるようになっていたと思われるとのこと。スパイウェアがインストールされた後はクラッシュレポート(アプリが異常終了した際に自動的に生成される報告用データ)が無効にされており、それはアップルがログを見てエクスプロイトをすぐに発見してしまうのを防ぐためだと推測されています。

また2019年には「iMessage zero-click 0-day」(修正プログラムが提供されていない状態でのiMessageゼロクリック攻撃)が広く利用されていたとも述べられています。ハッカーは特別なiCloudアカウントを作成して、スパイウェアの配信に利用していた模様です。さらに2020年には、Apple Musicアプリが攻撃手段として使われるようになったことを示唆する証拠も報告されています。

 

ですから、ペガサスというソフトウェアは、このように、あらゆる脆弱性を見つけながら進化(?)していったと言えます。特定の脆弱性に対する特定のプログラムというよりは、OSやアプリベンダーが不意に作り出す最新の脆弱性を、開発者が気づく前に利用するのです。

こういった攻撃については、興味本位、技術を見せつけるため、という動機が多い分野だったのですが、まさかビジネスにして販売するとはね、と言う感想です。

ちなみにNSO Groupは、ソフトウェアベンダーから総スカンを喰らっており、AWSからはすでにバンされたとのこと。

 

japan.cnet.com

 Amazonは自社クラウドサービス「Amazon Web ServicesAWS)」で、ハッキングツール開発企業NSO Groupのアカウントを無効化した。

 

んで、NSO Groupは今、このような状態に置かれていることにブチ切れているというところまでが最新情報です。

 

www.sanspo.com

 NSOスポークスパーソンによるコメント

 「もうたくさんだ!」

 

この辺りまでストーリーを知っておけば十分だと思います。

全部報道ベースの話なので、私は真偽まではわかりませんが、可能性はある話だと思います。

 

セキュリティーの世界はご存知のとおり「いたちごっこ」です。更新しないソフトウェアはない。でも更新すれば新しい脆弱性を生み出す。それに対する攻撃が発生すると、それに対応する更新が発生する。

開発者もたくさんのお金を使って脆弱性を無くす取り組みを続けていますが、同じ理屈を使ってお金を使えば、攻撃者も脆弱性を見つけることができるのです。

脆弱性の正体さえわかれば、あとはそれを利用するソフトウェアを、「普通の仕事」として行い、あとは販売する。

冒頭の「私のスマホ、大丈夫かな?」については、とにかくiOSを最新にしてくださいと言うことしか言えませんね。

一方で、Androidの場合は、機種によってはバージョンアップされないものもあるので、私はiOSより危険性が高いと感じています。一般論ですが。