執筆者:Mike Gentile、Asheer Malhotra、Vitor Ventura
編集者注:このブログ記事は 2023 年 9 月 22 日に開催された LabsCon 2023 での講演内容の公開版です。こちらから講演の録画をご覧いただけます。LabsCon で発表された情報の一部は後日、アムネスティ・インターナショナルのブログ記事(2023 年 10 月 6 日にリリース)で追認されました。
- Cisco Talos は、スパイウェア企業 Intellexa 社(旧 Cytrox 社)が採用しているタイムライン、事業の枠組み、手順について新たに詳細な分析を行いました。
- Talos が分析した結果、iOS や Android デバイスを再起動しても、Intellexa 社が作成した Predator スパイウェアは必ずしもデバイスから削除されないことが判明しました。永続化機能は Intellexa 社がインプラント用に提供するアドオン機能であり、利用できるかどうかは、原則として顧客が選択するライセンスオプションによって決まります。
- Intellexa 社は、自社の顧客が国外で監視活動を行うつもりなのかを把握しています。
- Intellexa 社の Predator/Nova スパイウェアソリューションの情報が初めて公開されてから 2 年になりますが、現在もウイルス対策ソリューションで検出されることはありません。Intellexa 社の事業活動に関する一般公開レポートは、世界的に事業を展開し成長させている同社の能力にまったくと言っていいほど影響を与えていません。
- Intellexa 社のスパイウェアを使用して行われた悪意のある活動に関するほぼすべての公表文献は、侵害の兆候(IOC)である悪意のあるドメインで主に構成されています。Intellexa 社の顧客が管理するこのようなドメインの開示は同社の事業活動にまったくと言っていいほど影響を与えておらず、技術情報の開示が不足しているので同社はマルウェアインプラントを維持できるのだと Talos は判断しています。
- 2021 年 12 月時点で Intellexa 社が使用していたエクスプロイトチェーンに対するパッチを多くのユーザーが適用すると、2022 年に入ってまもなく、同社は同じバージョンの Android OS とより新しいバージョンをカバーする新しいエクスプロイトチェーンを新規顧客(少なくとも 1 つの組織)に出荷開始しました。
2023 年 5 月、Cisco Talos は Intellexa 社のスパイウェアソリューションである Alien と Predator に関する初の詳細な技術レポートを公開しました。内容は、内部的な仕組みの紹介と、Android OS でスパイウェアを正常に動作させるために必要となる非常に複雑なソフトウェアアーキテクチャの判定についての説明です。今回の調査では、商用スパイウェア業界における他の側面にも光を当てています。たとえば、責任逃れ、広範なメディア露出の影響、採用問題などです。
Talos は LabsCon 2023 サイバー脅威インテリジェンス カンファレンスで Intellexa 社を事例として取り上げ、商用スパイウェア業界につきものの事業リスクを紹介しました。
今回の調査ではインプラントである Alien と Predator の歴史を深掘りし、落ち目企業だったスパイウェア販売会社 Cytrox が買収された後、諜報機関並みのスパイウェア企業 Intellexa に生まれ変わるまでの軌跡をたどっています。
インプラントの永続性は Intellexa 社のスパイウェアのアドオン機能
Intellexa Alliance から流出した営業提案書を見ると、同社の技術ソリューションの機能向上に伴い、感染 1 件あたりの価格が年々上昇しています。もはやデバイスを再起動しても、感染したデバイスからインプラントを削除することはできません。
2021 年時点では、Predator に感染した Android システムを再起動するとスパイウェアは削除されていました(iOS デバイスには残っていました)。ところが 2022 年 4 月には、再起動後の永続化機能が顧客に提供されています。その後、この仕組みについて詳述するレポートが公開されていないのは、機能が使い物にならなくなったと信じるに足る理由がないからです。それでも初期設定にリセットすれば削除されますが、再起動後の永続化機能は有効になると考えるのが妥当であり、文字通り回復できないほどにデバイスの信頼性が完全に損なわれることになります。
Intellexa 社の製品開発の変遷
Cytrox 社は 2017 年に北マケドニアで設立され、当初は Android ベースのマルウェアを開発していました。同社は 2018 年に WiSpear 社に買収され、2019 年には Nexa Technologies 社、WiSpear 社(と Cytrox 社)、Senpai Technologies 社が提携して Intellexa Alliance を立ち上げました。公的報告書によると、Intellexa Alliance は商用スパイウェア企業であり、標的にされる可能性がある人のことやスパイウェアが悪用されることを考慮せずに、複数の顧客に商用スパイウェアを販売しています。
Senpai Technologies 社は OSINT(オープンソース インテリジェンス)とペルソナ作成に特化したイスラエルに拠点を置く企業です。WiSpear 社の拠点もイスラエルにあり、Wi-Fi 傍受を専門としています。フランスに拠点を構える Nexa Technologies 社(現 RB 42 社)の主な事業内容はリモート監視とセキュリティサービスです。
これらすべての企業が 2019 年 5 月に Intellexa 社として併合されると直ちに、同社は当時 Android 向けの主力スパイウェアだった Predator の機能強化に着手しました。この事実はビルド時に静的ライブラリをコンパイルしたことでマルウェアのバイナリに残ったアーティファクトから確認できます。
2020 年 4 月には機能強化が完了し、Android で Predator を展開できるようになっています。2020 年 5 月、開発者は iOS の「ソリューション」に取りかかっていました。これは Android から iOS への Alien と Predator の移植だったと Talos はある程度確信しています。この判断は、Predator システムの高レベルコンポーネントを動かすエンジンがまったく同じではなくても似ているという事実に基づいています。以降のセクションで詳しく説明しますが、Android のアーティファクトの一部は iOS のサンプルでも確認されています。
進化の歴史
価格モデル
商用スパイウェアの作成は調査に基づく高度なプロセスです。たとえば、モバイルアプリケーション/パッケージと Android や iOS などの OS が備えるセキュリティ管理を慎重に迂回、回避し、エクスプロイトするといったプロセスがあります。こうした高機能なソフトウェアを、ゼロクリックまたはワンクリックのゼロデイエクスプロイトと組み合わせてパッケージ化すると、非常に信頼性の高い攻撃「ソリューション」が完成します。だからこそ高価になるのです。早くも 2016 年には、NSO Group が感染 10 件につき 65 万ドルの請求をし、別途初期設定費用が 50 万ドル必要なことをニューヨーク・タイムズ紙が報じています。NSO Group とメキシコ間の複数年契約は約 1,500 万ドルだと推定されていますが、これは 2013 年当時のことです。
5 年後の 2021 年にニューヨーク・タイムズ紙が公開した別の記事には Intellexa 社の Predator フレームワークの提案書の内容が詳しく掲載されており、そのソリューションに 1,360 万ユーロという途方もない価格がつけられています。次のような内容です。
- 20 件の同時感染
- ワンクリックエクスプロイトで初期アクセスを達成
- Predator C2 と管理用のハードウェアおよびソフトウェア
- プロジェクト計画、ドキュメントなど
- 12 か月の保証サポート
提案書に記載されている価格と項目(一部)
2022 年に流出した文書によると、Intellexa 社のデータ収集モジュールである Nova プラットフォームの価格は 2022 年時点で 800 万ユーロでした。1,360 万ユーロという値段は途方もない価格ですが、800 万ユーロでも十分に高額です。ですが、この価格設定は Intellexa 社などが提供する商用スパイウェアは一般人のためでも、クライムウェアを使用する小規模な犯罪グループのためでもないという事実を裏付けるものです。こうしたソリューションは潤沢な資金を持つ顧客向けのものであり、そのような費用を支払えるのは国家が支援する機関のみです。
価格モデルは、製品の技術的な進化も示しています。2022 年 7 月に流出した提案書によると、Intellexa 社はすでに Android ソリューションに再起動後の永続化機能を組み込んでいます。また、Android のサポートを 18 か月に延長しています。現時点では、これが Intellexa 社の開発能力と研究能力から直接生み出されたものなのか、取得したエクスプロイトが最終的にそのような機能に結実したのかは不明です。
iOS での元の永続化機能は、ローカルに保管されている悪意のある HTML ページを読み込んで、起動時に元の脆弱性をエクスプロイトするというものでした。そのため、新たに導入された Android の永続化機能も単純に同様の方法に基づいている可能性があります。
責任逃れ
Intellexa 社の営業提案書は、責任逃れができるように考案されています。提案書に記載されている条項はインフラの責任から納入方法にまで及びます。これは Intellexa 社のビジネスモデルの重要な側面であり、その目的は悪評を回避し、顧客が「製品」を何のために使用するかについて同社は責任を負わないと主張することです。被害者がどういった人物かも知らないと主張しています。
提案書に記載されている責任についての説明(一部)
流出した提案書には、インフラと匿名化は顧客の責任であると記載されています。否認という観点から見ると、これによって被害者がどのような方法でスパイ活動の対象にされているのかはわからないという Intellexa 社の主張が可能になります。事業リスクの観点では、このような条項によって、悪意のある活動と Intellexa 社のつながりを暴く公開情報が出た場合に、同社はあらゆる責任を回避できます。
納入方法
Intellexa 社がサポートするハードウェアの納入はターミナルまたは空港で行われます。この納入方法は、物流用語(「インコタームズ」)でいうところの運賃保険料込み条件(CIF)に基づくものです。この方法を使用すると Intellexa 社はシステムの展開場所と最終設置場所はわからないと主張できるようになります。Lighthouse Reports の調査によると、Intellexa 社がスーダン政府にソリューションを販売したときに、まさにこのシナリオに沿って納入が行われました。
出典:https://www.lighthousereports.com/investigation/flight-of-the-predator/
提案書に記載されている「顧客が指定する施設での設置と構成」や「標準トレーニングコース」などの文言を考慮したとしても、ハードウェアが設置される場所を Intellexa 社が承知しているということにはなりません。すべてはリモートで行うことができ、Intellexa 社の従業員は顧客の「ソリューション」が物理的にどこに設置されているのか把握していないこともあり得るからです。
Intellexa 社は、自社のソフトウェアが顧客の国以外、また可能性としては管轄外の国の電話番号プレフィックスを対象にした監視活動を行うために使用されているかどうかを直接知っています。というのは、ライセンスモデルを使用しているからです。販売は 1 つの電話番号(国コードプレフィックス)に制限されますが、追加料金を支払えば顧客は地理的な制限なしに、他の国でもソリューションを使用できます。
事業リスク
人材
商用スパイウェア企業はソリューションを開発するために高度な専門知識を持つ人材を必要としますが、採用には困っていないようです。これは高度な専門知識を持つ数名のエンジニアの LinkedIn プロフィールからも見てとれます。一例を挙げると、NSO Group は 6 月に軍諜報部から高度な専門知識を持つエンジニアを新たに採用しています。
Intellexa 社は iOS インプラントの開発中に、以前 NSO Group で勤務していた iOS の専門家である脆弱性研究者を採用しました。採用のタイミングから、iOS デバイスでインプラントを確実に展開できるように、インプラントとエクスプロイトチェーンを統合する必要があったことがわかります。
iOS セキュリティ専門家の履歴書の抜粋
このような「専門家」は他の商用スパイウェア企業で勤務していたり、積極的に仕事を探していたりします。たとえば Talos でざっと検索したところ、2023 年 9 月に NSO Group が同じ研究バックグラウンドを持つセキュリティ研究者を採用していたことがわかりました。
職歴の例
このような例はいくつか存在します。高度なスキルを持つ研究者は同じ業界の企業を転々とし、必要とされている人材を供給し続けるのです。
対象 OS のサポート
新しい OS がリリースされても、Predator ソリューションにはあまり影響がなさそうです。Intellexa 社は現在、Android では最新のサポートバージョンの 18 か月前、iOS では 12 か月前の OS バージョンをサポートしています。ただし、これらのバージョンが同社がサポートしている最新バージョンであるとは限りません。Google は Apple と同じくほぼ年に 1 回新しいバージョンをリリースしていますが、Android OS は一般公開の何か月も前からベータ版が利用可能になることがあります。つまり Intellexa 社とエクスプロイトのサプライヤには十分なリードタイムがあり、初期攻撃ベクトルとして使用する新たなエクスプロイトチェーンを開発できるということです。
重要なことですが、Alien と Predator のインプラント自体は OS のリリースごとにそれほど変更する必要はありません。インプラントは可能な限り汎用的に、またモジュール化できるように記述されており、OS のバージョンや機能に固有でなければならないモジュールは Python で書かれているので、顧客のインフラを介して簡単に更新し、即座に展開できます。
OS の更新の影響を受けやすいコンポーネントは、初期アクセスベクトルと永続化機能です。これらはパッチを適用できるエクスプロイトに依存していることが多いか、新たな緩和手法によって役に立たなくなることがあります。
脆弱性エクスプロイトチェーンのパッチ適用
これはどの商用スパイウェアソリューションでも最も機密性が高く最も制御が難しい部分です。それでも、商用スパイウェア企業の運用能力には大きな影響があるのではないかと考えたくなりますが、現実には影響は小さいか、せいぜい中程度の影響しかなさそうです。
エクスプロイトブローカーとエクスプロイト調査会社は全体または一部のエクスプロイトチェーンをサブスクリプションモデルとして販売します。つまり、顧客が購入したエクスプロイトチェーンにパッチが適用された場合は、機能する代替品を受け取る権利があるということです。
イベントのタイムラインを見ると、2021 年 11 月に以前のソリューションにパッチが適用された後、Intellexa 社が完全に機能する新たなエクスプロイトチェーンを取得しソリューションと統合するのにかかった時間は最大でも 6 か月だった(おそらくそれよりも短かった)ことがわかります。これには事実の裏付けがあり、2022 年 5 月に Intellexa 社のプラットフォームがスーダンの新規顧客に出荷されたこを Lighthouse Reports が報じています。
全般的に見て、商用スパイウェア企業が悪用する脆弱性の情報公開は非常に重要ではあるものの、商用スパイウェア企業にとっては大したリスクにはならないことがわかります。事実、リスクはエクスプロイトのブローカーとベンダーに移るのです。
これはバイデン・ハリス政権の注意を引き、Intellexa Alliance は「情報システムへのアクセスを取得するために使用されるサイバーエクスプロイトの不正取引に従事している企業であるという判断」に基づき米国のエンティティリスト(禁輸リスト)に追加されました。現実的な問題として、エクスプロイトを扱う米国拠点の企業は Intellexa 社およびその関連企業とは取引できません。つまり Intellexa 社は米国以外の企業からエクスプロイトを調達せざるを得ませんが、今のところ、これは問題にはなっていないようです。もっとも、英国と EU も同様の措置をとった場合、市場は小さくなり、Intellexa 社などの企業が初期攻撃ベクトルを取得するのはずっと困難になります。
情報公開の影響の欠如
商用スパイウェア企業の情報が公開されることで意識が高まり、政府や規制機関の注目を集めるようになりました。また、こうした情報公開によって政権側が人権活動家、ジャーナリスト、一般市民の反体制派に対して悪意のある活動を行っていることが明らかになり、Intellexa 社の「顧客」の多くに倫理観が欠如していることがわかりました。
ただし、そうした活動を行っている政権について情報を公開することは Intellexa などの企業の収益力にはほとんど影響しないようです。新たなエクスプロイトチェーンを購入するか作成することになるためコストは増加するかもしれませんが、問題なく新たなエクスプロイトチェーンを取得しているようです。初期アクセス手段として使用するエクスプロイトを次々に変えることでビジネスを続行しています。商用スパイウェア業界の公開情報の大半は、活動の政治的側面に焦点を当て、悪意のあるドメインとインフラを一覧していますが、マルウェア自体の内部的な仕組みを暴くことはできていません。情報公開されるドメインとインフラはスパイウェアの顧客自身が所有、運用していて、多くの場合サイロ化されています。つまり、ある活動について情報が公開されたとしても、通常は他の顧客にはまったくと言っていいほど影響を与えないのです。ただし、情報が公開されてしまうリスクは常に、基本的には匿名化チェーンに対する顧客の取り組みに基づきます。
このような情報開示は政権(「顧客」)に多大な影響を与える可能性がありますが、スパイウェア企業にコストを課すことはありません。必要なのは、モバイルスパイウェアと実際のサンプルの技術分析の情報を一般に開示し、マルウェアが世間の監視の目にさらされるようにすることです。このような情報開示を行うことでより詳細な分析が可能になり、検出の取り組みが促進されるだけでなく、インプラントを定期的に進化させるための開発コストをスパイウェア企業に負わせることができます。
本稿は 2023 年 12 月 21 日に Talos Group のブログに投稿された「Intellexa and Cytrox: From fixer-upper to Intel Agency-grade spyware」の抄訳です。