iPhoneやAndroid経由で世界中の著名人や政治家を監視するスパイウェア「Pegasus」とは？

イスラエルのセキュリティ企業・NSO Groupが開発したスマートフォン監視用ソフトウェアの「Pegasus」が、20カ国で180人以上のジャーナリストを監視するために用いられていたと報じられていますが、その詳細が徐々に明らかになっています。

Apple iPhones were successfully hacked by NSO’s Pegasus surveillance tool - The Washington Post
https://www.washingtonpost.com/technology/2021/07/19/apple-iphone-nso/

Zero-click iMessage exploit was used to spy on journalists
https://www.xda-developers.com/zero-click-imessage-exploit-was-used-to-spy-on-journalists/

Apple iPhones can be hacked even if the user never clicks a link, Amnesty International says
https://www.cnbc.com/2021/07/19/apple-iphones-can-be-hacked-even-if-the-user-never-clicks-a-link-amnesty-international-says.html

What is Pegasus spyware and how does it hack phones? | Surveillance | The Guardian
https://www.theguardian.com/news/2021/jul/18/what-is-pegasus-spyware-and-how-does-it-hack-phones

「Pegasus」はiOSやAndroidを搭載したスマートフォンを監視するスパイウェアですが、iOSの場合、Apple純正のメッセージアプリであるiMessageに存在するゼロデイ脆弱性を用いることで、iPhone内に侵入します。

10カ国・17社の報道機関から80人以上のジャーナリストが参加している世界的共同事業体の「Pegasus Project」が独自に調査した内容によると、「Pegasus」はiOS 14.6搭載のiPhone 12 Pro Maxや、iOS 14.4搭載のiPhone SE(第2世代)、iOS 14.0.1搭載のiPhone SE(第2世代)など、iOS 14以降のさまざまなバージョンで発見されているそうです。

2020年の時点では、スパイウェアの「Pegasus」はiOS 13を搭載したiPhoneを標的としていました。2020年時点での「Pegasus」も最新版と同じようにiMessageの脆弱性を使用していたものの、当時はゼロクリック・エクスプロイトを利用していたことが明らかになっています。つまり、iOS 13搭載端末を標的とする「Pegasus」と、iOS 14搭載端末を標的とする「Pegasus」は、技術的には大きく異なるわけです。

なお、iOS 13搭載端末を標的とする「Pegasus」については、2020年12月の時点で報じられていました。

iPhoneのiMessageにひそむ「ゼロクリックの脆弱性」でジャーナリストが政府からハッキングを受ける - GIGAZINE

「Pegasus」が使用する脆弱性を変更しなければいけなくなった理由は、iOS 14では「BlastDoor」と呼ばれるセキュリティ対策が導入されたからです。「BlastDoor」はアプリケーションを効果的に解析し、信頼できないデータを検出し、アプリケーション間の相互作用を防ぐというセキュリティサンドボックス。「BlastDoor」はiOS 13搭載端末をターゲットとする「Pegasus」が悪用していたゼロクリック・エクスプロイトを防ぐことに成功したため、開発元のNSO Groupは別の脆弱性を用いてiOS 14搭載端末をターゲットとする「Pegasus」を作成せざるを得なくなったわけです。

ワシントンポストは、モロッコで投獄された政治活動家の妻であるクロード・マンギン氏の所有するiPhone 11が、iOS 14搭載端末を標的とする「Pegasus」に感染していることを発見し、それがどのように機能しているかを独自に調査しています。端末を調査してもデータが盗まれたか否かは特定できなかったそうですが、「Pegasus」はメール・通話履歴・ソーシャルメディア上での投稿・パスワード・連絡先・写真・ムービー・録音ファイル・閲覧履歴といったデータを収集していることが明らかになっています。また、カメラやマイクを勝手に有効化したり、通話やボイスメールの内容を傍受したり、位置情報を収集したりすることも可能とのこと。

マンギン氏の場合、「Linakeller2203」という名前のGmailユーザーから送られてきたメールから「Pegasus」に感染した模様。マンギン氏のiPhone 11が「Pegasus」に感染したのは2020年10月頃で、この時期から2021年6月までの間に何度も端末をハッキングされたと報じられています。

なお、感染したiOS端末から「Pegasus」を一時的に削除するには、iPhoneを再起動するだけでOK。セキュリティ研究所であるCitizen LabのBill Marczak氏は「iPhoneを再起動すると、ゼロクリック攻撃が発生するまで『Pegasus』が有効化されない」とツイートしています。ただし、「Pegasus」の検出は非常に難しくなっているとも報告されています。

「Pegasus」がiOS端末を監視するのに使われているという報道に対して、Appleでセキュリティエンジニアリング＆アーキテクチャー担当ディレクターを務めるIvan Krstić氏は、「Appleはジャーナリストや人権活動家、世界をより良い場所にしようとしているあらゆる人々に対するサイバー攻撃を明確に非難します。Appleは10年以上にわたりセキュリティイノベーションで業界をリードしてきました。その結果、セキュリティ研究者はiPhoneが市場で最も安全な消費者向けのモバイル端末であることに同意しています。報じられているサイバー攻撃は非常に洗練されたもので、開発に数億円の費用がかかり、多くの場合、特定の個人を標的とするために使用されているものです。つまり、圧倒的多数のユーザーにとっては脅威ではないということです。しかし、我々はすべてのユーザーを守るためにたゆまぬ努力を続けており、ユーザーの端末とデータを保護するための施策を新たに追加していきます」という声明を発表しています。

Appleは2021年7月20日にiOS 14.7をリリースしたばかりで、同時にセキュリティアップデートも発表していますが、詳細は明らかにされていないため今回のアップデートが「Pegasus」に関するものか否かは記事作成時点では不明です。

なお、「Pegasus」の開発元であるNSO Groupは、これまでにジャーナリストや弁護士、活動家、検察官、外交官、教師、裁判官、学者、政治家などを監視してきたことが明らかになっていますが、新たにメキシコのアンドレス・マヌエル・ロペス・オブラドール大統領とその関係者50人を監視対象としていたことや、インドの政治家でありナレンドラ・モディ首相の政治的ライバルとして知られるラーフル・ガンディー氏なども監視対象となっていたことが判明しています。

また、アメリカ政府による世界規模の監視の実態を曝露した元NSA職員のエドワード・スノーデン氏は、「Pegasus」のようなスパイウェアについて「この種のテクノロジーの取引を禁止するために動かなければ、監視の標的がさらに増えて数万人の規模になるだけではおさまらず、数千万人規模にまで膨れ上がることでしょう。これは我々の想像よりもはるかに早く起きるでしょう」と語り、一刻も早くスパイウェアの普及を止めるために対策を講じるべきと主張しています。