攻撃者は長い間、標的のデバイスを侵害するために、合法的な企業が開発した商用製品を使用してきました。それがいわゆる商用スパイウェアです。商用スパイウェアの主な標的はモバイルプラットフォームであり、ゼロクリックまたはワンクリックによるゼロデイエクスプロイトを使用してスパイウェアが送り込まれます。商用スパイウェアの脅威は、2015 年に発生した Hacking Team 社の情報流出によって明るみに出ましたが、NSO Group に関する一般報道によって新たな知名度を獲得し、その後数年間で勢力が爆発的に拡大しました。
Intellexa 社、DSIRF 社、Variston IT 社、そして新たに情報が公開された Quadream 社など、今では同様の製品を提供する企業が数多く存在しますが、これらはほんの一部に過ぎません。現在はもっと多くの企業が水面下で活動していると思われます。
バイデン政権が最近商用スパイウェアに関する大統領令を出したことでもわかるように、商用スパイウェアは、各国政府が注目し、対策を講じるほど悪名高いものになっています。英国国家サイバーセキュリティ センター(NCSC)の最近の報告書では、スパイウェアツールの入手が容易であることが「諜報能力や情報を入手しようとする国家と非国家主体にとっての障壁を低くしている」と強調されています。最近では 2023 年 6 月、欧州議会の本会議で、NSO の Pegasus および同等の監視用スパイウェアの不正使用について、EU 加盟国が継続して調査することが採決されました(PEGA 報告書)。欧州議会のメンバーは本会議において、スパイウェアの不正使用によって「民主主義そのものが危うくなっている」と主張し、商用スパイウェアの使用に関する法改正と規制強化を求めました。プレスリリースと報告書の全文はこちらをご覧ください。
自社製品で誰が標的にされようが関知しない商用スパイウェア企業
商用スパイウェア企業は、単にアクセスを得るための手段として自社製品を宣伝し、顧客の標的が誰であるかについては何も情報がないという立場をとります。おそらくこれは、個人に対して違法に使用されたのが自社のスパイウェアであると判明した場合に、もっともらしい言い訳をするためです。スパイウェア開発企業は、製品の輸出を規制する法律がない国や、IT サービスプロバイダーに分類されるために事実上製造物責任から逃れられる国に本社を置くことで、法的な影響を避けています。そのため結局のところは、対象となる人物が誰であるかや、被害者にどのような影響が及ぶかを気にすることなく、金さえ払えば誰にでも販売しているという現状があります。
商用スパイウェアは、法執行機関と政府機関向けの「ツール」であり、合法的な使用のみを目的としたものであると謳われていますが、犯罪者やテロリストには該当しない、倫理的に疑わしいとする人物に対して使用され続けている事例が次々と報告されています。繰り返し標的になっているのは、スパイウェアを送り込む政府が敵対者あるいは自国にとっての脅威とみなすジャーナリスト、政治家、活動家です。テロや組織犯罪と戦うためにこうしたテクノロジーが存在するのだとしても、乱用や悪用を防ぐためには販売と使用に関する規制が必要であり、国際的なレベルで司法当局の監視を受けなければなりません。
スパイウェアを送り込んだ政府に一部影響が出た例としては、ギリシャのジャーナリストが Predator というスパイウェアの標的にされた事件があります。結局、2022 年にギリシャ国家情報局長官が辞任に追い込まれ、その後ギリシャでは商用スパイウェアの使用が禁止されることになりました。また 2022 年の初めには、イスラエル警察が NSO Group のスパイウェアを使用したことに対する民衆の怒りが広がる中、同社の CEO が退任しています。
商用スパイウェアが野放しになる未来
Google 社や Apple 社などモバイルプラットフォーム開発企業各社は、自社のオペレーティングシステムに繰り返し保護策や軽減策を導入し、実装してきました。ただし、商用スパイウェアは、ゼロクリックによるゼロデイエクスプロイトを使用して被害者のモバイルデバイスを侵害することが多く、相手に見つかることなく繰り返し携帯電話を侵害する能力に開発会社が自信を持っているため、場合によっては永続化メカニズムさえ導入しません。つまり、スパイウェアをデバイスから取り除くには、単なる再起動で十分です。一方、デバイスを再起動しても、最初の侵害時と同じくゼロクリックによるゼロデイエクスプロイトを使用してデバイスを商用スパイウェアに再感染させればよいわけなので、攻撃性の高さがうかがわれます。
商用スパイウェアの勢いが弱まっているという兆候は見られません。むしろ、エクスプロイト可能な、パッチ未適用の未知の脆弱性が絶えず公開されることに伴い、スパイウェアは増加しています。国際社会がこのテクノロジーを規制する行動を起こさない限り、ほとんど状況は変わらないでしょう。スパイウェア開発企業の中には、研究者によって情報が公開されると消滅するところもあります。しかし実際には活動を停止するのではなく、ブランドの名称を変更したり、自分たちが生み出したテクノロジーを共有して他社と合併したりするだけです。この典型的な例が商用スパイウェア企業の Cytrox 社です。同社は消滅寸前でしたが、その後「救済」され、現在は Intellexa 社という複合企業の一部になっています。
民間企業や政府機関は、スパイウェア開発企業に過去の活動の責任を負わせようとするなど、商用スパイウェアの使用を合法的に抑制するための措置を講じてきました。Meta 社(旧 Facebook 社)は、商用スパイウェア企業に対して最初に動いた企業の 1 社です。同社が所有する WhatsApp を感染チェーンに活用したとして NSO Group に対して訴訟を起こしています。バイデン政権も、米国政府が商用スパイウェアを使用する範囲に制限を設ける大統領令を出し、商用スパイウェア企業と戦う上で重要な一歩を踏み出しました。その目的は、「商用スパイウェアの不適切な使用を阻止し、法の支配、人権、民主主義の規範と価値の尊重に合致する商用スパイウェアの使用に関する責任ある規範の策定と実施を奨励する」ことです。
しかし、法的措置や立法措置は限られており、商用スパイウェアの使用を抑制する上で直ちにプラスの効果をもたらすには至っていません。このようにスパイウェア企業の活動を制限するための措置は講じられているものの、経済的かつ法的に可能である限り、どの地域でもスパイウェア企業が活動を続ける可能性があります。輸出を規制する、刑事責任を問う、罰金を科すといった形で監視を強化することが、こうした企業が宣伝している合法的な目的を超えた活動が行われないようにするための一歩かもしれません。
商用スパイウェア分野におけるシスコの取り組み
シスコもまた、商用スパイウェアの影響を緩和するための措置を講じています。特にお伝えしておきたいことは、上述した Meta 社による NSO Group に対する訴訟提起について、シスコ、Microsoft 社、その他のテクノロジー企業が支援に回っているということです。シスコは、サイバー傭兵に関する原則を記した文書の主要な起草者でもあります。Cyber Tech Accord で採択されたこの文書は、商用スパイウェアの影響を緩和するために組織が講じている措置を説明するためのものです。記載されている目標は、商用スパイウェアが突きつける脅威を認識している企業によって設定されています。
リスクプロファイル
地球上のほとんどの人にとって、Apple や Android の携帯電話に組み込まれたセキュリティ機能は、自分を守るのに十分すぎるほどです。しかし、商用スパイウェア業界の動きは、スパイウェア製品を入手することができ、それを使用するための手段があると、対象の人物がいとも簡単に危険にさらされることを証明しています。人々が危険にさらされていることについて深い懸念を示すレポートは幾度となく目にしてきました。その対象がジャーナリストや反体制派の活動家であったというニュースは珍しくありません。パッチを当てているかどうかに関係なく、スパイウェア企業はデバイスを繰り返し侵害できるため、保護は難しいというのが現状です。
商用スパイウェアの標的になっている、あるいはその可能性があると思われる場合、スパイウェアを送り込んできた相手に連絡する前にデバイスを再起動するか、ロックダウンモードに切り替えることが、当面の間は数少ない選択肢かもしれません。
商用スパイウェアの標的になっていると感じているのであれば、習慣にした方がよい一般的な対策が他にもあります。それらを以下に示します。
- 定期的にデバイスを再起動する。
- iPhone を使っている場合はロックダウンモードを使用する。
- 怪しい情報源のリンクはクリックしない。
- 知らない人からのプライベートメッセージは受け取らない。
- 公的な連絡を保つ必要がある場合は、情報が何も入っていないデバイスを使用して受信し、頻繁にそのデバイスをリセットする。
- デバイスを常に最新の状態に保つ。
読者の中に、自社のシステムが商用スパイウェア、あるいは雇われハッカー集団の侵害を受けている可能性があるという方がおられましたら、ぜひ Talos の研究チーム(talos-mercenary-spyware-help@external.cisco.com)までご一報ください。こうした脅威についてコミュニティの知識を深めるために、ご協力をお願いいたします。
本稿は 2023 年 07 月 06 日に Talos Group のブログに投稿された「The growth of commercial spyware based intelligence providers without legal or ethical supervision」の抄訳です。