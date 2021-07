2021年07月20日 20時00分 セキュリティ

世界中で猛威を振るうスマホ向けスパイウェア「Pegasus」の兆候も検出可能なセキュリティ侵害検出ツール「MVT」



iOS端末やAndroid端末におけるセキュリティ侵害の兆候を検出するために作成されたフォレンジックツールが「Mobile Verification Toolkit(MVT)」です。世界中で猛威を振るうスパイウェア「Pegasus」の兆候を検出することにも使えます。



MVTの主要な機能は以下の通り。なお、MVTの機能は絶えず進化しているため、今後さらなる機能が追加されることは十分に考えられます。



・暗号化されたiOSのバックアップを復号化

・iOSおよびアプリデータベース、ログ、システム分析からの記録を処理・解析

・Android端末からインストール済みのアプリケーションを抽出

・adbプロトコルを介してAndroid端末から診断情報を抽出

・抽出された記録をSTIX 2形式で提供する悪意のあるインジケーターリストと比較

・抽出された記録のJSONログを生成し、検出された悪意のある追跡(監視)のJSONログを分離

・抽出された記録の統一されたタイムラインを、検出された悪意のある追跡(監視)のタイムラインと一緒に生成



これらの機能を用いてMVTはスマートフォン内部でみられるさまざまな種類の個人的な記録(通話履歴、SMS、WhatsAppなど)を抽出し、悪意のあるSMSメッセージなどの潜在的なサイバー攻撃の痕跡が存在しないかを検証してくれます。





世界の20カ国・180人以上のジャーナリストや活動家、政治家、実業家を監視していることで話題になっているスパイウェアの「Pegasus」は、Appleの純正メッセージアプリであるiMessageが持つゼロクリック・エクスプロイトを用いたスパイウェアであることが判明しています。ゼロクリック・エクスプロイトは、メールに添付されたリンクをクリックすると感染するというものではなく、特定のメッセージを受信するだけで「何もしていなくてもマルウェアに感染してしまう」というもの。



基本的に「Pegasus」はメッセージ経由でユーザー端末に感染していくため、メッセージを検証して悪意のあるものが存在しないか確認してくれるMVTは、「Pegasus」にも有効です。MVTは「Pegasus」の開発元であるNSO Groupが使用しているドメイン名や、NSO Groupが「Pegasus」を配信するために使用していることが判明しているIOCなどを用いて、異変を検出します。



「Pegasus」については、「5万件の電話番号が監視対象となっていた」との報道もあり、「あくまで世界で活躍するジャーナリストや活動家、政治家などを対象としたもの」と思われがちですが、そういった人々の関係者などが監視の対象になっているケースも複数確認されています。また、「Pegasus」はNSO Groupという一企業が運用しているスパイウェアであるため、「これまでは何も悪いことをしていなければ諜報機関などによる監視を心配する必要はなかったものの、『Pegasus』のようなスパイウェアの登場で、そういった希望的観測に終止符が打たれる可能性がある」と海外メディアのThe Guardianは警告しています。



なお、MVTを実行するにはLinuxあるいはmacOSをインストールしたコンピューターが必要です。また、MVTを実行するにはPython 3.6以降が必要です。加えて、MVTはコマンドラインで動作するため、洗練されたユーザーエクスペリエンスはなく、ターミナルの操作方法に関する基本的な知識も必要となります。