AppleのHomeKit、セルビアのPegasusスパイウェアキャンペーンで悪用か

AppleのHomeKitプラットフォームが注目を浴びている。報道によると、セルビア当局がHomeKitの脆弱性を悪用し、Pegasusスパイウェアを含む監視ツールをユーザーの操作なしに配信しているという。Amnesty Internationalの調査では、このスパイウェアキャンペーンにおける2つの主要ツールが浮き彫りとなった。イスラエルのNSOグループが開発したPegasusと、セルビアで開発されたNoviSpyだ。

使用されているツール
Pegasusはゼロデイ脆弱性、つまりソフトウェア製造元も把握していない欠陥を突いて、デバイスを静かに感染させることで知られている。一度インストールされると、Pegasusはメッセージ、メール、メディアへの無制限のアクセスを得るだけでなく、デバイスをライブ監視ツールに変えることも可能だ。さらに、ユーザーがリンクをクリックしたり操作したりする必要はない。

一方、NoviSpyは物理的にデバイスにアクセスすることでインストールされるとされている。これは、交通検問や「情報提供のための面会」といった警察の介入時に利用されるようだ。例えば、ジャーナリストのスラビシャ・ミラノフ氏は、警察署で短時間スマートフォンを預けた後、不審な動作を経験した。後の分析で、Cellebriteツールを通じてデバイスがアクセスされ、その際にNoviSpyがインストールされていたことが判明した。

Appleシステムの脆弱性の悪用
当局はAppleのHomeKit、同社のスマートホームプラットフォームの脆弱性を利用してスパイウェアを配信した疑いがある。HomeKitは安全なプロトコルを設計しているが、攻撃者はネットワーク設定を操作したり、不正な招待を送信することでデバイスを侵害できると報告されている。同様に、AppleのiMessageもゼロデイ攻撃の標的となりやすく、その広範な機能性と普及率が脆弱性利用の一因となっている。Pegasusはこうした脆弱性を突き、リモートでのインストールを成功させている。

Appleはこれまでもスパイウェアに対し法的・技術的措置を講じてきた。2021年には、Pegasusの配信に関与したとしてNSOグループを提訴し、Appleサービスへのアクセスを阻止することを目指した。また、iOS 16で導入されたLockdown Modeは、メッセージの添付ファイルやリンクプレビュー、不明なFaceTime通話など、スパイウェアが悪用しやすい機能を制限するセキュリティ機能だ。

しかし、報告書では、Pegasusのようなスパイウェア開発者が新たな脆弱性を絶えず発見し、対策を回避していることが強調されている。2023年だけでも、PegasusはiPhoneを標的とする3つの新しいゼロクリック攻撃を進化させた。

ジャーナリストと活動家への影響
セルビアにおけるPegasusとNoviSpyの展開は、ジャーナリストや人権活動家に深刻な懸念を引き起こしている。これらのツールにより、当局はSignalのような暗号化アプリでの通信を監視し、個人のネットワークを追跡し、市民運動や抗議活動に関する情報を収集できる。

標的とされた個人にとって、スパイウェアの影響は計り知れない。一部のジャーナリストは、監視を恐れてスマートフォンの使用を完全に避けるようになった。また、他の人々は市民社会における自らの役割に不安や孤立を感じると述べている。

ユーザーが取るべき対策
Appleユーザー、特に標的型攻撃のリスクが高い人々は、デバイスのセキュリティを強化するための手段を講じることができる。iOSのLockdown Modeを有効にすることで、スパイウェアが悪用しやすい攻撃対象範囲を制限できる。このモードは、デバイス設定の「プライバシーとセキュリティ」セクションから有効化できる。また、強力なパスワードの使用や定期的な更新、二要素認証の有効化を習慣にすることも重要だ。

さらに、不審なHomeKitの招待やメッセージには十分な警戒が必要だ。これらは悪意のある攻撃の入口となる可能性がある。

Appleはプライバシーとセキュリティの分野で高い評価を維持しているものの、今回の事件は、いかに洗練された監視ツールであっても完全に防ぐことが難しいことを示している。スパイウェア開発者が進化し続ける中、デバイスのセキュリティを確保することは永遠の課題となっている。