商用スパイウェアとは何か
近頃はよくスパイウェアが話題になっていますが、これには十分な理由があります。このところ、商用スパイウェアツールの急増と、標的にされる被害者に対してどのようにスパイウェアが使用されているのかについての懸念が高まっています。
この記事では、スパイウェアの商用化が進むことによって生じる広範な影響と、どのようにスパイウェアが使用されているのか、そして商用スパイウェアとデジタル恐喝の違いについて説明します。
商用スパイウェアとは何で、なぜ増加しているのか
大まかに言えば、スパイウェアとは、デバイスにインストールされ、活動の監視や、潜在的に機密性の高いデータの窃取を目的として使用されるソフトウェアのことです。この用語は 1990 年代から使用されており、最初に確認されたスパイウェアは、デバイスからパスワードや財務情報を盗むために犯罪組織が開発したものでした。デバイスの物理的な位置の追跡のほか、カメラの記録やマイクの録音にもスパイウェアが使用されることがあります。
各国政府や法執行機関が合法的な捜査の一環としてスパイウェアを使用する機会が増えたことにより、商用スパイウェアが開発されるようになりました。攻撃者は長い間、標的のデバイスを侵害するために、企業が合法的に開発した商用製品を使用してきました。
それがいわゆる商用スパイウェアです。商用スパイウェアの主な標的はモバイルプラットフォームであり、ゼロクリックまたはワンクリックによるゼロデイエクスプロイトを使用してスパイウェアが送り込まれます。
商用スパイウェアの開発と使用については、特に犯罪やテロリズムの事例においては(厳重に規制されている限り)正当な理由があるとみなされます。ここで問題になるのが、スパイウェア開発企業を規制する世界共通の方法が存在しないことです。
そのため、商用スパイウェアの被害報告が増えている状況が確認されています。最近増えているスパイウェアの被害者は犯罪者やテロリストではなく、社会活動を行っている人々です。例を挙げると、人権侵害について報道するジャーナリストや抑圧的な政治体制に世間の目を向けさせようとする活動家が標的にされ、危険な目に遭ったという報告があります。
組織が商用スパイウェアの使用に目をつぶる場合にも問題が生じます。
英国国家サイバーセキュリティ センター(NCSC)の最近の報告書
では、スパイウェアツールの入手が容易であることが「諜報能力や情報を入手しようとする国家と非国家主体にとっての障壁を低くしている」状況が強調されています。米国政府も、スパイウェア Pegasus の開発企業として悪名高いイスラエルの NSO Group を米国の某企業が買収しようとした際、強い姿勢で介入を行っています。
商用スパイウェアの標的になっている可能性がある場合に身を守る方法
商用スパイウェアは特定の標的に狙いを定めており、たった 1 人の人物を危険にさらすために、中には何千万円もの大金をつぎ込む攻撃者がいることにはハッとさせられます。つまり、ゼロデイ攻撃や未知の脆弱性を使用するなど、標的の携帯電話を侵害するために攻撃者がさまざまなことを仕掛けてくる可能性があるのです。
標的にされる側にとっては気が気ではありませんが、いくつか対策があります。
何もしなくても感染してしまうゼロクリックエクスプロイトは確かに存在しますが、あまり一般的ではありません。いろいろな相手から送られてくる迷惑メールが感染経路になることがほとんどなので、見知らぬ人から大量のメッセージが届いても、リンクや添付ファイルをクリックしないことが重要です。
また、携帯電話を再起動するだけでも、デバイスからスパイウェアを消去することができます。通常、商用スパイウェアの開発企業はスパイウェアに永続性を持たせないからです。
商用スパイウェアの標的になっている可能性がある人(人権ジャーナリスト、活動家、反体制派、弁護士)と電話で話す場合は、事前に自分の携帯電話を再起動することをお勧めします。スパイウェアを使用する攻撃者が、標的にしている人物に近しい人間まで危険にさらすことは大いに考えられます。
商用スパイウェアの注目すべき事例
Talos は、2019 年頃から確認されている商用スパイウェア PREDATOR について、参考にしていただける記事を公開しています。
PREDATOR は「ALIEN」という別のスパイウェアコンポーネントと連携することを意図したものです(映画『エイリアン VS. プレデター』とは違い、対立することなく連携します)。両者が Android OS の従来のセキュリティ機能をバイパスするように動作し、情報窃取、監視、リモートアクセスなどさまざまな諜報活動が可能になります。
商用スパイウェアとデジタル恐喝攻撃の違い
「あなたがこのアダルトサイトを訪問したことを知っています。アダルトビデオを閲覧しているところを録画しました。ビットコインで支払わなければ、あなたの友人と家族全員にその映像を送ります」といった感じのメールを受け取ったことがあるかもしれません。
これは典型的なデジタル恐喝攻撃であり、実際にはスパイウェアではありません。攻撃者はこのようなメールを複数のアカウントに送りつけ、誰かが信じてお金を払うことを期待しています。
前述のように、商用スパイウェアは特定の標的に狙いを定めています。商用スパイウェアを購入した側は当然、誰が被害者なのかを知っているのです。デジタル恐喝攻撃の場合、通常は誰が被害者になるかはわかりません。サイバー犯罪者が期待しているのは、できるだけ多くの人が話を信じてお金を支払うことです。
サイバー犯罪者は通常、第三者のデータ侵害によって流出したメールアドレスに脅迫メールを送りつけます。もしそのようなメールを受け取ったら、迷うことなくすぐに削除してください。あなたが受け取ったメールは、攻撃者が何千通と送りつけたメールの 1 通でしょう。
商用スパイウェアの増加に対するシスコの取り組み
上記の NSO Group に対しては Meta 社が訴訟を起こしており、シスコ、Microsoft 社、その他のテクノロジー企業が Meta 社の支援に回っています。シスコは、サイバー傭兵に関する原則を記した文書の主要な起草者でもあります。Cyber Tech Accord で採択されたこの文書は、商用スパイウェアの脅威の概要と、その影響を緩和するために組織が講じている措置を説明するためのものです。
関連情報
Cisco Talos の研究者は先ごろ、商用スパイウェア増加の裏にある、開発企業が法的・倫理的に監督を受けないという現実問題について『ON THE RADAR』で記事にしました。その中で、商用スパイウェアが野放しになる未来についても考察しています。自分がスパイウェアの標的になっていると思う場合、特にリスクの高い方(ジャーナリストや反体制派)は、この記事に記載している対策を参考にしてください。
こちらの Talos Takes のポッドキャストでも、Asheer Malhotra と Jon Munshaw が、スパイウェアとサイバー傭兵グループの危険性について語っていますので、あわせてご覧ください。
Tags:本稿は 2023 年 08 月 09 日に Talos Group
