HomeKitの脆弱性が悪用され、セルビアのジャーナリストと活動家がPegasusスパイウェアに標的

アムネスティ・インターナショナルは、AppleのHomeKitに存在するセキュリティ脆弱性が悪用され、セルビアのジャーナリストと活動家のiPhoneにPegasusスパイウェアがインストールされたことを確認した。Appleは被害者に対し、「国家が関与する可能性のある攻撃」について警告していた。

この調査は、セルビアの主要シンクタンクに所属する2人の活動家がAppleからデバイスの不正侵害を示唆する警告を受けたことを契機に始まった。彼らはベオグラードを拠点とするSHARE Foundationに支援を求め、同団体はアムネスティ・インターナショナルおよびAccess Nowと連携してiPhoneの徹底的なフォレンジック分析を実施。その結果、デバイスがNSO GroupのPegasusスパイウェアによって標的にされていたことが明らかになった。Pegasusは主に政府や法執行機関向けに販売される著名な監視ツールである。

HomeKitの脆弱性の悪用
アムネスティ・インターナショナルのセキュリティラボは、攻撃者がAppleのHomeKitサービス内の未公開の脆弱性を利用して攻撃を仕掛けていたことを突き止めた。侵害は攻撃者が管理するiCloudメールアカウントを介して行われ、Pegasusの展開が実現した。2台のセルビアのデバイスは数分の間隔で標的となり、それぞれ異なるiCloudアドレスがPegasus攻撃システムに関連付けられていた。

この攻撃パターンは世界中で確認されているPegasusのゼロクリック攻撃と一致している。特にiMessageを通じた事例が多く、特定のメッセージを受け取るだけでデバイスが侵害されるため、被害者による操作は一切必要ない。アムネスティは以前、2023年8月にインドで確認されたPegasus感染を含め、同様の手法が報告されていると述べている。

セキュリティラボによれば、インドの被害者もHomeKitを介した攻撃の痕跡が見られ、Pegasusがデバイスに侵入した可能性が高いという。HomeKitが関与している明確な証拠が存在するものの、その脆弱性の詳細はAppleが引き続き対策を開発中であるため非公開となっている。

Androidデバイスも標的に
一方、iPhoneがHomeKitの脆弱性を通じて攻撃された一方で、Androidデバイスは別の手法で侵害された。被害者が犯罪報告のため警察当局に協力を求めた際、Cellebrite技術を通じて監視ソフトウェアがロックされた端末にインストールされた。これはAndroid特有の脆弱性を利用した攻撃であり、標的を警察署に誘導する形で国家が関与したと考えられている。

iOSとAndroid両方の脆弱性を同時に悪用するこれらの攻撃は、Pegasusスパイウェアを利用した監視作戦がますます高度化していることを浮き彫りにしている。NSO Groupのゼロデイ脆弱性を突く能力は世界的な懸念となっており、ジャーナリストや活動家などリスクの高い個人のプライバシーと安全が脅かされている。

Appleは引き続き被害者に警告を発し、Pegasusの攻撃指標を検知するためiOSのセキュリティ機能を強化している。しかし、HomeKitの脆弱性が突かれたことは、このような高度な脅威に対する対策の難しさを示している。

アムネスティ・インターナショナルおよびそのパートナーは、スパイウェアの悪用を記録し、対抗するため、世界中で同様の攻撃を監視し続けている。