| 研究者 2016年8月29日


2016年8月29日

モバイルセキュリティアラート:iOSを標的にした高度なモバイル攻撃が発生

By Lookout

LookoutはCitizen Lab(トロント大学Munk School of Global Affairs)と共同で、iOSの3つのゼロデイ脆弱性によって引き起こされる脅威を発見しました。この脆弱性が悪用されると、Appleの強固なセキュリティ環境さえ破る攻撃の連鎖を生み出します。私たちはこの脆弱性を「トライデント」と名付け、Appleのセキュリティチームと協業し、Appleの素早い対応によりiOSのトライデント脆弱性を修正するiOS 9.3.5のパッチがリリースされました。
個人ユーザーはiOSの最新版へのアップデートを直ちに実行してください
お使いの端末のOSバージョンが判らない場合は、設定→一般→情報→バージョンの順に開くと確認できます。Lookout製品はこの脅威に対応済みで、脅威を検知すると警告が表示されます。
なお、iOS9.3.5にアップデートすることで、今後ペガサスに感染することを防げますが、すでに感染しているペガサスの駆除や、感染の有無を確認することはできませんのでご注意ください。感染の有無を確認するには、以下の手順に従ってください。
個人ユーザーがPegasus感染の有無を確認する方法
iOSの最新版にアップデートすることで将来的なPegasusの感染を防ぐことは可能ですが、すでに感染している場合は別の対処が必要です。iOSのアップデート後、Lookoutパーソナル(個人向け製品)を利用して感染の有無を確認してください。
  1. iOS 9.3.5にアップデート
  2. AppStoreから、Lookoutをダウンロード(すでに利用している場合は、バージョン4.4.8にアップデート)
  3. Lookoutアプリを起動して「セキュリティ」の項目が緑になっている場合は、感染していません。
キャプチャStep3 <「セキュリティ」の項目が黄色になっている場合>
マルウェアに感染している恐れがあります。至急、Lookoutのサポートまでお問合せください。
企業ユーザーおよびLookout Mobile Endpoint Securityユーザー
Lookout Mobile Endpoint SecurityはPegasusに対応済みです。万が一Pegasusに感染した端末が検知された場合は、管理者に通知されるほか、社員のMobile Endpoint Securityインストール済みモバイル端末には以下の通知が行われます。
Lookout Mobile Endpoint Securityをまだ利用していない企業ユーザーで、Pegasus感染の有無やモバイルセキュリティ対策について知りたいお客さまは、Lookout営業担当までお気軽にお問い合わせください。
ルックアウト・ジャパン株式会社
lookout-jp@lookout.com  
Citizen Labの調査によると、トライデントはPegasusというスパイウェア製品に組み込まれており、NSO Groupという企業がこのアプリを開発しています。NSO Groupはイスラエルに拠点を置き一部の報道によると「サイバー戦争」を専門としている企業で、2010年にアメリカの企業Francisco Partners Managementに買収されています。Pegasusはゼロデイ脅威の悪用や難読化、暗号化に非常に高度な技術を採用しており、カーネルレベルでの悪用も実行可能です。
この脅威は反体制の活動家を狙った標的型攻撃に利用されています。LookoutはCitizen Labと共同でこの攻撃に関する2通の報告書を作成し、その悪意あるコードに焦点を当てて詳細な分析結果を発表しました。Citizen Labの報告書(英語)では、人権擁護の活動家を標的とした攻撃がモバイル用スパイウェアを使用して実行される過程を詳述し、活動家やジャーナリスト、人権活動家など政府が危険分子とみなす市民に対し、政府がサイバー監視活動を行っている証拠を挙げました。Lookoutの報告書(英語)では標的型のスパイ攻撃に関する技術的側面を掘り下げて解説し、世界中のiOS ユーザーが著しく影響を受けることを指摘しています。
攻撃の概要
アハムッド・マンスール(Ahmed Mansoor)氏はアラブ首長国連邦(UAE)在住の著名な国際的人権活動家で、 過去には人権分野のノーベル賞とも言われるマーティン・エナルズ賞を受賞しています。8月10日と11日にマンスール氏はテキストメッセージを受け取りましたが、そこには国内刑務所で拘留、拷問を受けている人物に関する「秘密」を知らせたいのでメール内のリンクをクリックするようにと書かれてありました。リンクをクリックせずCitizen Labの研究者にメールを転送すると、リンクはエクスプロイト構造に属するもので、NSO groupに接続していることが判明しました。Citizen LabがLookoutと共同で分析作業を行った結果、リンクはゼロデイ脅威のエクスプロイトを連鎖的に発生させる罠で、マンスール氏のiPhoneのジェイルブレイクおよび巧妙化したマルウェアのインストールを狙ったものでした。
「合法的な」マルウェアを使用してマンスール氏が狙われたのはこれが3度目でした。Citizen Labの過去の調査によれば、同氏への攻撃には2011年にFinFisherスパイウェアが、2012年にはHacking Team社のスパイウェアが使用されています。マンスール氏への攻撃にこのような高額マルウェアツールが使用されていることから、政府が積極的に活動家の取り締まりに乗り出していることがうかがえます。
またCitizen Labの調査から、政府が支援する団体がNSOのエクスプロイト構造を使い、メキシコ大統領による汚職を報じたメキシコ人ジャーナリストに攻撃を仕掛けていたこともわかっています。ほかにも、ケニア在住の人物も標的となりましたが、詳細はわかっていません。
NSO group は偽ドメインを使い、赤十字国際委員会のサイトやイギリス政府のビザ申請サイト、さまざまな新興企業や大手テクノロジー企業などのウェブサイトになりすましており、標的型攻撃を仕掛けようとしていることが伺えます。
Pegasusスパイウェアとは
過去に検出されたモバイルエンドポイント攻撃の中でもPegasusは最も高度な攻撃です。モバイル端末にはユーザーの生活に密着した機能が搭載されており、常時接続(Wi-Fiや3G/4G)、音声通話、カメラ、メール、メッセージ送信、GPS、パスワード、アドレス帳などモバイルならではの機能が1つの端末に集約されています。Pegasusはこうしたモバイルの特性を利用し、巧妙な手法で攻撃します。
このアプリはカスタマイズ可能なモジュール式で、強力な暗号化機能を持ち、一般的な検知を回避します。Lookoutの分析から、このマルウェアはiOS にある3つのゼロデイ脆弱性「トライデント」を悪用することがわかりました。以下はその詳細です。
  1. CVE-2016-4655:カーネル領域で情報漏えいが発生します。カーネルベースのマッピング脆弱性で、攻撃者に情報を送信し、メモリ内のカーネルの配置位置を測定できるようにします。
  2. CVE-2016-4656: カーネルのメモリ領域が破損し、ジェイルブレイクが発生します。32ビットおよび64ビット版両方におけるiOS カーネルレベルの脆弱性で、攻撃者がユーザーに気づかれることなく端末のジェイルブレイクを実行し、スパイウェアをインストールことを可能にします。
  3. CVE-2016-4657:Webkitのメモリ領域が破損されます。Safari WebKitにある脆弱性で、ユーザーがリンクをクリックすると攻撃者が端末に不正アクセスできるようにします。
攻撃の流れを簡単にまとめると、テキストメッセージを送信→ウェブブラウザを表示→ページを読み込み→脆弱性を悪用→マルウェアをインストールの順に発生し、情報を搾取します。典型的なフィッシングプログラムですが実行中は端末上に何も表示されないため、ユーザーは端末が不正アクセスされていることに気づきません。
今回の事例で注目すべき点は、ソフトウェア設定の自由度が高いことです。このスパイウェアはメッセージや、通話、メール、ログなどにアクセスできるほか、Gmail、Facebook、Skype、WhatsApp、Viber、FaceTime、カレンダー、Line、Mail.Ru、WeChat、SS、Tangoといったアプリを侵害することでさらに多くの情報を搾取することが可能です。また、Pegasusに含まれる攻撃キットはOSがアップデートされても自身をアップデートしてエクスプロイトの置き換えを行い、攻撃を継続することが可能です。
カーネルマッピングがiOS 7までさかのぼって取得している値などコードに記録されている一部の指標から考えて、このスパイウェアは相当期間、出回っていたと思われます。また、高度な企業スパイ活動など様々な目的で企業資産への侵害に利用されていることも明らかになっており、iOSやAndroid、Blackberry が攻撃の標的となっています。
詳細情報
今回作成した報告書には攻撃手法の他、開発されたソフトウェア、悪用される脆弱性などを掘り下げて、さまざまな情報を盛り込みました。Citizen Labはこの脆弱性を政治的に悪用している攻撃者の活動を調査し、Lookoutはエクスプロイトにおける侵入から実行に至るまでの振る舞いなどこのマルウェアの技術的側面に焦点を当てて調査しました。また、この報告書ではiOSのトライデント脆弱性(iOS 9.3.5ですでに修復済み)のほか、このスパイウェアに関するさまざまなコンポーネントの詳細な分析結果を紹介しています。
この事例で取り上げられたリンクと類似するものに遭遇した場合は、support-jp@lookout.comまでメールにてご連絡ください。
リサーチメンバー:
Citizen Lab: Bill Marczak、John Scott-Railton(シニアフェロー)
Lookout: Max Bazaily、Andrew Blaich、Kristy Edwards、Michael Flossman、Seth Hardy(セキュリティ研究所員)、Mike Murray(セキュリティ研究所副所長)  
修正
Lookoutパーソナルのバージョンを「バージョン4.4.8」に修正。
iOS9.3.5アップデート後の、ペガサス駆除の情報を追加。

投稿者

Lookout

コメントする

送信


2 コメント


【iPhone】悪意のあるソフトウェア(Pegasus)に感染していないか確認する方法 | 楽しくiPhoneライフ!SBAPP 以下のように述べています。:

February 12, 2017 at 8:29 pm

[…] […]


Lookout Mobile Securityから届く「深刻なiOS脆弱性が発見されました」というセキュリティ警告とは? 以下のように述べています。:

September 04, 2016 at 8:44 pm

[…] […]