ユーザーのiPhoneを乗っ取るPegasusスパイウェアに感染させる「ゼロクリック攻撃」が3件確認される、背後で政府や軍が関与する可能性も

トロント大学のThe Citizen Labが、イスラエルのデジタル監視企業NSO Groupが2022年にAppleのデバイスを使用して人権活動家などをターゲットに、少なくとも3つの新しいゼロクリック攻撃を展開したと報告しています。この攻撃は、被害者が悪意のあるリンクをタップしたり何らかの操作をしたりしなくても、NSOが被害者のデバイスに侵入できるというもので、NSOがiPhoneをハッキングする手段を開発しつづけていたことを示していたそうですが、iOS 16から採用されている「ロックダウンモード」によって被害者のiPhoneが一部の攻撃を回避することに成功したこともわかりました。

Triple Threat: NSO Group’s Pegasus Spyware Returns in 2022 with a Trio of iOS 15 and iOS 16 Zero-Click Exploit Chains - The Citizen Lab
https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-returns-in-2022/

NSO Group Targeted Apple's FindMy and Homekit Features With New Zero-Click Exploits
https://www.gizmodo.com.au/2023/04/nso-group-targeted-apples-findmy-and-homekit-features-with-new-zero-click-exploits/

Pegasusがどんなスパイウェアなのかは以下の記事を読むとよくわかります。

iPhoneやAndroid経由で世界中の著名人や政治家を監視するスパイウェア「Pegasus」とは？ - GIGAZINE

Pegasusの存在は2020年頃から世界に広く知られるようになり、開発したNSO Groupは世界から強い批判を受けました。手口が明らかになったことで、Pegasusの感染報告は減ったそうですが、The Citizen Labによると、2人のメキシコの人権運動家のデバイスが、ゼロクリック攻撃によってPegasusに感染した形跡があったそうです。

新たに確認されたゼロクリック攻撃は、iOS 15あるいはiOS 16を搭載したデバイスが標的となり、記事作成時点だとメキシコ在住の人権擁護者2人が被害に遭っているとのこと。The Citizen Labによると、被害者2人のうち1人はiPhoneの探す(Find My)機能を標的とする「FINDMYPWN」を、もう1人はiPhoneのHomeKitとiMessageを悪用した「PWNYOURHOME」を受けたそうです。特にHomeKitについては、特にスマートホームの設定をしたことがなくても攻撃の対象になってしまうとのこと。また、「FINDMYPWN」と「PWNYOURHOME」にくわえて、「LATENTIMAGE」というゼロクリック攻撃も確認されました。

ただし、「PWNYOURHOME」については、iOS 16で搭載されたサイバー攻撃を検知するロックダウンモードを有効にしたことによって、攻撃時に警告通知が表示され、攻撃を防いだことも報告されています。

The Citizen Labによると、メキシコでは政府と麻薬カルテルと左翼の学生運動グループが三つ巴で長く対立を続けており、2022年にはメキシコで10万件を超える失踪が確認されるほど治安が悪化しています。さらに、メキシコでは多くの政治家や活動家がPegasusによる監視対象になっていることが判明しています。

メキシコの汚職や人権侵害を報じるジャーナリストのスマホがスパイウェア「Pegasus」に感染していた新たな証拠が見つかる - GIGAZINE

2015年に教育大学の学生43人が教師の雇用問題についてデモを行った際に全員が行方不明になり、のちに地元の麻薬組織に殺害されたことが判明した「イグアラ集団誘拐事件」では、学生のスマートフォンがスパイウェアに感染していたことが関連していたのではないかと報じられています。また2017年には、このイグアラ集団誘拐事件の家族の弁護を務めていたメキシコの人権団体のメンバー3人が、NSO Groupのスパイウェア「Pegasus」の標的になっていたそうです。

2022年に確認されたゼロクリック攻撃が行われたタイミングとちょうど同じ時期に、メキシコ国内の人権運動家やジャーナリストが「イグアラ集団誘拐事件について政府が提出した証拠」の信ぴょう性について疑問を呈し、重要書類の引き渡しを拒否したメキシコ軍を批判していました。また、イグアラ集団誘拐事件の重要参考人とされた軍人に出されていた逮捕状が突然取り消されたり、同事件の特別検察官が辞任させられたりする事件も同時期に起こっていました。そのため、The Citizen Labは2022年のゼロクリック攻撃にメキシコ軍や政府が関与している可能性を示唆しています。

Appleの広報担当者は、The Citizen Labが報告しているエクスプロイトはごく少数のユーザーにのみ影響を与えるもので、すでに脆弱(ぜいじゃく)性を修正するパッチはすでに発行済みだと述べています。また、「ロックダウンモードがこの巧妙な攻撃を阻止し、特定の脅威がAppleやセキュリティ研究者に知られる前に、ユーザーに即座に警告したことを嬉しく思います」と語りました。

NSOの広報担当者は「NSO Groupは厳しい規制を順守しており、その技術は世界中のテロや犯罪と戦うために政府の顧客によって使用されています」と答えました。