Meduza共同創業者の携帯電話、Pegasusに感染
(meduza.io)- Meduzaの共同創業者で発行人のGalina TimchenkoのiPhoneが2023年2月10日にPegasusへ感染し、ロシア人ジャーナリストを標的にした初の確認事例となった
- Access NowとCitizen Labの分析によれば、攻撃者はマイク、カメラ、メモリ、写真、予定表、住所、暗号化メッセンジャーの会話にまでアクセスでき、感染はHomeKit・iMessageを通じたPWNYOURHOME脆弱性に関連しているとみられる
- 感染の翌日、Timchenkoはベルリンで亡命ロシア独立メディア関係者との非公開セミナーに参加しており、当時この携帯電話は盗聴装置のように使われ得た
- NSO GroupはPegasusを犯罪・テロ対策のために政府顧客にのみ販売していると説明したが、Access NowとCitizen Labはラトビア、エストニア、ドイツなど欧州域内での利用疑惑と国境外監視の可能性を問題視している
- 攻撃主体と目的は特定されておらず、Timchenkoの事例は欧州でジャーナリストを国家安全保障上の脅威として扱う流れと、商用スパイウェア規制の空白を浮き彫りにしている
Appleの脅威通知から感染確認まで
- 2023年6月22日、Galina TimchenkoはAppleからstate-sponsored attackersに関する脅威通知を受け取り、これをMeduzaの技術チームに転送した
- Appleのthreat notificationsは、ユーザーが「誰であるか、あるいは何をしているか」という理由で個別標的になった場合に送られる通知である
- Appleは、国家支援型攻撃は非常に複雑で、開発に数百万ドルを要し、寿命が短い場合が多いと案内している
- Timchenkoに届いた通知では、関与した国は明示されていなかった
- Meduzaの技術責任者は外部支援を要請した
- Access Nowは、世界中の利用者のデジタル市民権とセキュリティ実践を支援する非営利団体である
- Citizen Labはトロント大学の研究所で、市民社会を標的としたデジタルスパイ活動を調査している
- Access NowとCitizen LabはTimchenkoの端末データを収集して迅速な検査を行い、iPhoneが2023年2月10日にPegasusへ感染したことを確認した
Pegasusが得たアクセス権
- Pegasus感染は、攻撃者にTimchenkoのiPhoneへの完全なアクセス権を与える
- マイク、カメラ、メモリにアクセス可能
- 自宅住所、予定表、写真、暗号化メッセンジャーの会話を閲覧可能
- 画面を直接見ながら、メッセージが作成される瞬間に読み取れる
- メール、SMS、画像、ファイルをダウンロードできる
- ユーザーが感染を防いだり気づいたりするのは難しい
- Pegasusは、Appleが標準搭載するアプリを含め、脆弱なアプリケーションが1つあるだけで端末をハッキングできる
- 感染した端末であっても、ユーザーが異変に気づくのは容易ではない
- TimchenkoはiPhoneが普段より熱くなったことがあったが、新しい充電器のせいだと思っていた
- Citizen Labは、攻撃者がHomeKitとiMessageを通じて侵入した可能性を見ている
- 研究チームはPegasus特有のデジタル痕跡を発見した
- 使用された脆弱性は、iPhone内蔵のHomeKit機能を標的にし、iMessageを悪用してスパイウェアをインストールするPWNYOURHOMEとみられる
- John Scott-Railtonは、HomeKitを有効化していない端末でもこの攻撃は可能だと述べている
ベルリン非公開会議と感染時点
- 感染日である2023年2月10日は、Timchenkoがベルリンで非公開会議に出席する前日だった
- 2月11日、TimchenkoとMeduza編集長のIvan Kolpakovは、ロシア亡命独立メディア関係者とともにベルリンの非公開セミナーに参加した
- セミナーはRedkollegiaメディア賞委員会が主催した
- メディア企業の管理職や弁護士らは、ロシアの全面的な検閲とジャーナリスト・活動家への弾圧のなかで、ロシア関連業務を運営する法的問題を議論した
- 2週間前、ロシア検察総長はMeduzaを“undesirable organization”に指定し、その報道を違法化していた
- Timchenkoが会議に出席した時点で、Pegasusはすでに動作していた
- 攻撃者は携帯電話のマイクを遠隔で有効にし、周囲の会話を録音できた
- カメラも同様の方法で起動できた
- Access NowのNatalia Krapivaは、Timchenkoの携帯電話がロシア人ジャーナリストたちの計画を盗み聞きする盗聴装置として使われた可能性があるとみている
ロシア人ジャーナリスト対象の初確認事例
- Timchenkoの事例は、ロシア人ジャーナリストを標的にPegasusが使われた初の確認事例である
- Access Nowは、ロシア出身のジャーナリストや活動家およそ20人の携帯電話を検査し、複数のマルウェアを発見していたが、それ以前にPegasusは確認していなかった
- Citizen LabのJohn Scott-Railtonは、この種のスパイウェアはログファイルを隠し、自らの痕跡を消せるため、感染の特定が難しいと説明している
- Citizen LabとLookout Securityは2016年、Pegasusの存在を示す痕跡を初めて公表した
- 当時の報告書は、NSO Groupの“remote monitoring solution”がアラブ首長国連邦の人権活動家Ahmed Mansoorの監視に使われたと明らかにした
- Citizen Labは、Pegasus運用に必要なサーバーと、感染端末から収集した情報が到着するサーバーを追跡している
- Access Nowは、Pegasusは単なる製品というよりサービスに近く、NSO Groupが顧客国に運用訓練を提供していると説明している
NSO GroupとPegasusの費用・販売構造
- NSO Groupは、Pegasusが「テロリスト、犯罪者、児童性犯罪者」の監視専用に設計されたと主張している
- 同社はPegasusを国家顧客にのみ販売している
- 共同創業者には、イスラエル軍情報機関やMossadの出身者が含まれる
- NSO Groupは厳格な人権方針を掲げるが、複数の政府が批判者や政治的対立相手を標的にPegasusを使ってきた
- Citizen LabのJohn Scott-Railtonは、Pegasusのアクセス権の費用は「数千万ドル、あるいはそれ以上」だと語っている
- メキシコ政府はPegasus技術に少なくとも6,100万ドルを支出した
- メキシコはこれを犯罪者だけでなく市民社会の関係者の監視にも使用した
- Access NowのNatalia Krapivaによれば、NSO Groupの契約は一定数の同時感染を許可する方式である
- たとえば20人感染パッケージとは、同時に20人を監視できるという意味である
- Biden政権は2021年11月、NSO Groupを米国技術の供給を受けられない連邦ブラックリストに追加した
- これはPegasus Projectコンソーシアムがスパイウェアの広範な乱用を暴露してから数カ月後の措置だった
ロシア・カザフスタン・アゼルバイジャンの可能性
- NSO Groupは、Pegasusが米国またはロシアの電話番号を対象に使われないようにしているとされる
- 2020年、Pegasusの設計者たちは、感染した携帯電話が米国内に物理的に存在できず、米国境内に入るとソフトウェアが自爆するようになっていると説明した
- 2019年にエストニアがPegasusのアクセス権を購入した際、NSO Groupはロシア標的への使用を禁じたとされる
- NSO Groupは、ロシアと中国は「決して顧客になれない」国だと主張してきた
- 同社は、潜在顧客の人権、汚職、安全、財務、乱用履歴を審査すると説明している
- 2023年1月、CEOのYaron Shohatは、米国とイスラエルの同盟国政府への供給という中核事業に注力していると述べた
- Andrey Soldatovは、ロシア情報機関は世界のスパイ技術市場で買い手ではなく売り手であり、外国製スパイウェアに対して極端に猜疑的だとみている
- Pegasusで盗まれたデータがNSO Groupのエコシステム内サーバーへ送信される点も、ロシア当局には負担となり得る
- ロシア連邦保安庁FSBは、MeduzaのPegasusに関する質問に回答しなかった
- Access Nowは、カザフスタンまたはアゼルバイジャンがモスクワの要請で攻撃した可能性を暫定仮説として検討している
- 両国はPegasus顧客と疑われる国である
- ウズベキスタンは当該期間、Pegasus顧客とは考えられていない
- ただし研究者たちの知る限り、カザフスタンとアゼルバイジャンは欧州でPegasus攻撃を実行したことがなく、Timchenkoは感染当時ドイツにいた
- Citizen Labは、カザフスタンが国境外でPegasusを使用している証拠を確認していない
- アゼルバイジャンは海外でPegasusを使っているが、研究チームが記録している国はアルメニアのみである
ラトビア・エストニア・ドイツのPegasus疑惑
- Timchenkoの感染したiPhoneにはラトビアのSIMカードが入っていた
- Citizen Labは2018年にラトビアでPegasus関連活動を初めて記録し、リガが現在もNSO Group製品を使っていると専門家たちはみている
- Access Nowは、ラトビア情報機関が攻撃した可能性も排除していない
- 感染の2カ月前、ラトビアは別のロシア亡命メディアTV Rainを「国家安全保障と公共秩序への脅威」とみなし、現地放送免許を取り消した
- しかしCitizen Labは、リガがラトビア国外の標的をPegasusで攻撃した事例を観察しておらず、TimchenkoはBerlinにいた時に感染した
- ラトビア国家安全保障局は、Timchenkoのスマートフォン攻撃の可能性に関する情報は保有していないと回答した
- Pegasus使用の有無や海外標的監視の有無など、他の質問には作戦情報の機密性を理由に答えなかった
- エストニアは2019年にPegasusのアクセス権を購入したことが確認されており、Citizen Labもこれを裏付けている
- Scott-Railtonは、エストニアがドイツを含む複数のEU加盟国で国境外標的を感染させる事例を追跡したと述べている
- ドイツ連邦刑事庁は2019年にPegasusのアクセス権を確保し、2021年になって初めて購入事実を認めた
- ドイツは乱用防止のため一部機能が無効化されたバージョンを使っているとされるが、実際の動作方式は説明していない
- Krapivaは、欧州データ保護監督官の報告書が、Pegasus原型だけでなくいかなる形態のPegasusもEU法と根本的に両立しにくいとみていると述べた
欧州における商用スパイウェア問題
- Scott-Railtonは、Timchenkoがベルリンで感染した事実は、欧州のPegasus問題が解決していないことを示しているとみている
- ドイツは、商用スパイウェアの拡散と乱用に対処するための共同声明に署名していない
- この声明にはDenmark、France、Swedenを含む11カ国が署名している
- Access Nowは、ロシア反戦移民の新たな中心地となったLatvia、Estonia、Germany、Netherlandsの4つのEU加盟国すべてがPegasus利用国として疑われていると指摘する
- EU PEGA Committeeは、EU内にPegasus利用者として少なくとも14加盟国と22の運用主体がいると明らかにした
- NSO GroupのHungaryおよびPolandとの契約だけが終了している状態である
- Access Nowは、Timchenkoへの攻撃を、この1年間に欧州で発生した類似事例の少なくとも4件目とみている
- Meduzaは他の事件の詳細を把握しているが、被害者たちは公表を望んでいない
- Krapivaは、欧州ではジャーナリストを脅威として扱う傾向がEU法にも現れ始めているとみている
- European Media Freedom Actの一部文言がFranceやSwedenなどを中心に弱められたことで、国家安全保障を根拠にジャーナリスト監視を正当化できる可能性があると警告している
NSO Groupの対応と責任問題
- NSO Groupは、Timchenkoへの攻撃を認識していたか、どの顧客が侵入を実行した可能性があるかという質問に回答しなかった
- 同社の報道担当者は、Pegasusは米国およびイスラエルの同盟国、とくに西欧諸国にのみ販売され、目的は犯罪とテロへの対処だと述べた
- NSO Groupは、信頼できる乱用疑惑はすべて調査すると強調したが、Timchenkoの事例について内部調査を行う用意があるかは明らかにしなかった
- The New York Timesは2022年1月、Pegasusシステムは苦情が出た場合にすべての攻撃を記録しており、顧客の許可があればNSOが事後フォレンジック分析を行えると報じた
- 2022年7月、NSO Groupの法務・コンプライアンス責任者は欧州議会委員会で、内部調査により8件の契約が終了したと述べた
- Access NowのKrapivaは、数百人の被害者が出た後では、NSOの内部審査手続きは存在しないか、あっても見せかけにすぎないと結論づけたと語った
TimchenkoとMeduzaの現在の状況
- Timchenkoは侵入後に新しい携帯電話を購入し、感染していたiPhoneも持ち歩いている
- Citizen Labは、その端末にPegasusがもはやインストールされていないことを確認した
- Timchenkoは、その端末を記念品のように保管しておくつもりだと述べた
- 2023年6月以降、専門家たちはMeduzaスタッフ数十人の携帯電話を分析している
- 攻撃者がどの特定情報を狙っていたのかは、いまだ不明である
- Meduzaの技術責任者Alexeyは、動機が分かるまでは最悪の事態を想定すべきだと語った
- 彼は、ロシアが感染を依頼した可能性と深刻な結果を排除できないとみている
- Timchenkoは今後、弁護士の助言に従って行動し、沈黙はしないと述べた
感染が疑われる場合の対応
- スパイウェアによる監視を受けていると考える場合、攻撃証拠を可能な限り保存するために端末をバックアップし、Access Nowへ連絡することが推奨される
- iPhoneバックアップ案内: Appleサポート
- Androidバックアップ案内: Googleサポート
- Access Nowは、次の条件をスパイウェア感染確認の合理的根拠とみなしている
- 過去に国家機関から迫害を受けたことがある場合
- 本人または身近な人物がすでにデジタル攻撃の標的となった場合
- Apple、Google、Metaなど大手テック企業からマルウェア攻撃の可能性に関する通知を受けた場合
- SMS、メッセンジャー、メールで不審なメッセージを受け取った場合
- アカウントで“unusual login attempts”を確認した場合
1件のコメント
Hacker News のコメント
Apple はこの問題がどれほど深刻になり得るかを知っている、あるいは少しでも見当をつけているのだろうか? NSO がゼロデイの購入にいくら使っているにせよ、Apple ほどの企業ならバグ報奨金を十分に引き上げて、彼らを合法的な側へ引き寄せられるのではないか? 記事だけでは、インストールにユーザーの操作が必要だったのかもはっきりしない。不要だとしたら、国家支援の監視を少しでも疑う人は何をすべきなのか? むしろ携帯電話を使わないか、中古で買った端末を頻繁に取り替え続けるほうが安全に見える
Pegasus は多くの記事で描かれているような単一のハッキング主体ではなく、携帯電話の root 権限があるときにデータをダウンロードするサービス群と、底の知れないゼロデイの備蓄である。もしかすると、ゼロデイを差し替えるまでの間、Pegasus が数時間、数日、数週間にわたって動作しない時期もあるかもしれない。流出資料から、ゼロクリック型とクリック型のエクスプロイトを組み合わせて使い、複数の携帯電話 OS をサポートしていることは知られている
彼らのハッキング能力は誇張されている可能性が高い。円滑な顧客サポートのためにゼロデイをすべて購入していて、自分たちで見つけているものは一つもないかもしれない。iPhone 向けのゼロクリック・ゼロデイは約200万ドルの価値があり[1]、NSO のような契約を持つ企業ならそうしたものを多数購入できる。メディアが彼らをスーパーハッカーのように描くのは純粋な誇張であり、実際には国家から金を引き出す方法を見つけた腐敗した事業家集団に近い
[1] https://arstechnica.com/information-technology/2019/01/zerod...
エクスプロイト開発者1人でも、1年に兵器化されたゼロデイを複数作れる。彼らがそうした作業をする開発者を1人しか置いていないはずはないので、脆弱性を数十個積み上げている可能性が高い。一部は公開された脆弱性と重なって消えるだろうが、1つを塞いでも別のものを待機させていると見るべきだ
Apple が報奨金を引き上げて合法的な側へ引き寄せられるかというのは良い質問だが、NSO の価格帯ではおそらく難しいと思う。Apple が競争力のある金額を提示することはできるだろうが、バグ報奨金の仕事ははるかにリスクが高い。運が悪かったり、すでに報告済みの脆弱性と重なったり、ベンダーが厳しく対応したりすると、長く働いてもお金を受け取れないことがある。Apple もその点では悪名高いほうだ
国家支援の監視が疑われるなら、まず携帯電話を複数台使うほうがよいかもしれない。SMS/MMS の代わりに認証済みプロトコルを使い、誰でも望まないデータを携帯電話に送れるということ自体が理不尽だ。自分なら、既知の連絡先に発信する時以外はセルラーサービスも完全にオフにしておくだろう
高リスクの取材をするジャーナリストがこれをデフォルトでオンにしていないというのは驚きだ。こうした無操作エクスプロイトの多くは、メッセージを受け取った瞬間に実行される画像デコーダのような脆弱性を通るが、Lockdown Mode が有効なら防げる。Lockdown Mode はほかの機能も無効にする。Lockdown Mode を有効にした携帯電話が侵害された証拠を見たことがあるのか気になる。不可能だと言っているわけではなく、単に気になっている
時が経つにつれてジャーナリズムに冷笑的になった人でも、サウジアラビアやモロッコのような体制に立ち向かうためにジャーナリストたちが耐えている死と恐怖を見れば、謙虚にならざるを得ない。Pegasus は Jamal Khashoggi と、彼の婚約者として記憶されている人の携帯電話にも存在していた
NSO が自社生産分をすべて使い切っても、私の知る脆弱性ブローカーたちは数百万ドル相当の在庫を数十個用意している。これは秘密でもない。ブローカーたちは米国で合法的に設立された会社を運営し、政府、企業、そして Microsoft や Apple のように安全でない製品を作るベンダーに販売している。Apple は、自分たちが既知の致命的なセキュリティ欠陥を数十〜数百個抱えた製品を出していることを知っている
Apple がゼロデイをすべて買い占めない理由は2つある。第一に、お金でセキュリティは買えない。第二に、利益がコストを上回らない
本気のセキュリティはお金では解決できない。Apple は現在、持続性のあるゼロクリックのリモートコード実行に100万ドル[1]、Lockdown Mode で同じことができれば200万ドルを支払っている。Tomahawk 巡航ミサイル1発ほどの価格だ。こうしたセキュリティ欠陥を見つけるには1〜3エンジニア年ほどかかるため、報奨金はおおむね人件費水準に設定されている。もし M1 Abrams 戦車1両ほどの価格である1000万ドルを支払えば、投資収益率が10倍になり、新たな報告が殺到するだろう。100万ドル水準で検出される欠陥より、1000万ドル水準で検出可能な欠陥のほうがはるかに多いからだ
しかし国家を抑止するには、最低でも F-16 1機の価格である1億ドル水準まで行かなければならない。すでに数百万ドル水準でも既知のセキュリティ欠陥が数十〜数百個あるのだから、1億ドル水準ではほぼ確実に数千〜数万個の脆弱性があるはずだ。したがって、国家支援の攻撃者から守るために買い集めるという方式は、可能だとしても数兆〜数十兆ドルかかり得る。そもそも iOS や Windows のようにセキュリティのために設計されていないシステムを後から補強する戦略で、数百万ドルの範囲を超えて成功したところは事実上ない
Appleがゼロデイを買い集めて得るものは何だろうか? セキュリティ上の欠陥が何千件報告されても、人々はiPhoneを買い続ける。AppleはLockdown Modeのような新しいマーケティングを作りさえすれば、誰もが安心する。国家支援の攻撃者に必要な水準の100分の1にも満たない製品しか作ってこなかった会社が、「今度こそ本当にやり遂げる」という宣伝文句を出すと、人々はそれを受け入れる。Apple自身もその宣伝を信じていないことは、Lockdown Modeの報奨金を通常のiOSの100万ドルの2倍である200万ドルに設定したことからも分かる。それでも戦車1台の5分の1の価格にすぎない。国家支援の攻撃者が戦車の一部ほどの価格にひるむだろうか? McDonald’sの店舗を1つ開く費用のほうが高い。Apple、Microsoft、Amazon、Google、Cisco、Crowdstrikeのような企業は、ただ嘘をつけばよく、奇妙なことに人々は千回目でもそれを信じてくれるので、売上は守られる
商用ITシステムは、中程度の資金力を持つ攻撃者に対しても完全には安全ではない。100万ドル以上の価値がある作戦がある、あるいは標的型攻撃のリスクがあるなら、どのシステムをいくつ使っていようと100%脆弱だと考えるべきだ。受け入れられないなら、接続性を持つ標準的な商用ITシステムを使うべきではない。残念ながら、現時点で機能する唯一の解決策だ。そのトレードオフを受け入れるかどうかは各自が判断することだ
[1] https://security.apple.com/bounty/categories/
近い将来のどこかの時点で、タイトルの「携帯電話」が自動車に置き換わり、結果はもっと悲劇的なものになるだろう
Tesla のゼロデイはいくらになるのか気になる
人々は携帯電話を自分自身の延長のように持ち歩くが、自動車は A 地点から B 地点へ連れていってくれる手段にすぎない
それに、ほとんどの現代車にはインターネットにほとんど接続されていない Secure Gateway[1] があり、接続されたシステムがエンジン、パワートレイン、ブレーキといった車両の他の部分に対して、限定的なネットワークアクセスしかできないようにしている。だからリモートでの大規模攻撃の可能性は低いと思う
[1] https://blackberry.qnx.com/en/ultimate-guides/software-defin...
ギリシャ神話的な意味合いが面白いと思わないか? Pegasus は Medusa の血から生まれた
「なぜよりによって Meduza なのか? ぬるぬるして不快な生き物ではないか?」という質問に対し、記者は、記者というものはたいてい不快で、ぬるぬるしていて、好きな人はほとんどおらず、それこそが仕事の本質だと答えている。また Medusa が相手を一目で石にしてしまう点も記者に合っているという。ただ正直に言うと、偶然決めた名前だそうだ。古代ギリシャの、首を切られたが復活した怪物の名前を付けようとしていて、「Meduza」を選んだあと、それが実は Hydra だったと思い出したが、すでに遅かったという
1: https://meduza.io/cards/zaday-vopros-meduze, #75
Apple が Pegasus のようなマルウェアを検知したとき、誰に通知し、誰には通知しないのかをどう決めているのか気になる
その人物に通知したのはよいことだ
しかし、その人がはるかに無名だったらどうだったのだろう? たとえば民主主義国家に住む一般人なら? Apple は誰が標的にしたのか分かるのだろうか? もし分かるなら、「中国やロシアなら通知する」といった基準があるのだろうか? だとしたら、中国やロシアが民主主義国家の有償の代理人を使って同じことをしたらどうなるのか?
疑問が多すぎる。それに、Apple がこうしたマルウェアを検知できるなら、なぜローカルアプリから即座に通知が来ないのだろう? 携帯電話向けのアンチウイルスのようなものだ。すでにそういうものがあってよさそうだが、そうでないならどうやって分かったのか?
おそらく、悪意あるメッセージを送ったことが知られているアカウントなどの情報を受け取り、サーバーログを調べて誰に届いたのか確認する方式なのだろう
こういう人々の標的になっていると考える記者や活動家は、どんな実用的な対策を取れるのか気になる
アプリごとに別のデバイスを使う方法、たとえば WhatsApp、Telegram、Signal をそれぞれ分ける方法がある。Web フロントエンドを使って携帯電話は切っておく方法もあるが、すべてのアプリで可能かは分からない。デバイスを定期的に捨てて中古で売り、新品や中古の携帯電話を買う方法もある。デバイスは、より安全な環境で会う約束を取り付けるためだけに使い、電話に向かって話したりテキストを送ったりせず、常に侵害されていると想定すべきだ
そして NGO ではなく NSO に制裁を科すべきだ。彼らはクズだ
ほかの機材を持ち歩くスペースも足りないだろう。国境を越えるときに、それだけ多くの携帯電話について国境管理や税関に説明しなければならず、なかなか興味深いことになりそうだ
まさにこうした攻撃を防ぐために設計されており、この攻撃も Lockdown Mode が有効だったなら失敗していたはずだと確認されている
さらに確実にするなら、iMessage をオフにし、iCloud も一切使わなければよい
GrapheneOS と同じように攻撃対象領域を減らし続けるが、アプリのインストールや Google サービスに関する妥協も完全に排除する形だ
基本的には、暗号化メッセージングと、カメラ・マイクに非常に制御された条件でのみアクセスできる携帯電話、それだけである
制約が大きければ人気も限られるため、標的にするコストに見合う価値はほとんどなくなり、本当に保護を必要とする少数の人には、そうした犠牲を受け入れるに足る、より強い保護を提供できる
すべてのメッセージを抜き取り、頻繁に画面キャプチャを行うなら、送信トラフィックを隠すのはかなり難しいはずだ。暗号化はするだろうが、データ量を隠すのは難しい
そもそも携帯電話を最小構成にロックダウンしておけば、さらに容易になる。外部へトラフィックを発生させるアプリが少ないからだ
「欧州国家がこれを行った可能性があるということを真剣に議論している事実に本当に衝撃を受けた」という Ivan Kolpakov の言葉は、素朴というより、その事件以前に欧州国家が実際にこの文脈で何をしているのか調べていなかったことこそが核心的な問題だと思う
事前に調べていれば、衝撃ではなく懸念していただろう
もう一つの可能性は、この「衝撃」が映画『Casablanca』式の衝撃だということだ
Rick: 何を根拠に俺の店を閉鎖できるんだ?
Captain Renault: ここで賭博が行われているとは衝撃だ、衝撃だよ!
[クルーピエが Renault に札束を渡す]
Croupier: お勝ち分です、閣下
Captain Renault: ああ、どうもありがとう
Pegasus が自力で拡散できないようにする何かがあるのか、それとも必ず標的型攻撃としてインストールされる必要があるのか気になる
感染の有無を確認するためにスキャンする方法もあるのだろうか?
関連するとされる脆弱性の一部はワーム化可能かもしれない。ただ実際には、Pegasus のようなマルウェアの運用者には、制御不能な拡散を避ける実用上の理由がある。発見されずパッチも当てられていない脆弱性は隠れたままでなければならないが、無制限に拡散すれば発見・分析される可能性が大きく高まり、「金の卵を産むガチョウ」を殺してしまうことになる
したがって少なくとも現時点では、Pegasus のインストールはすべて標的型攻撃の結果だと考えられる。一方で、ツールが流出して複数のアクターが簡単に使えるようになればインセンティブは変わり、そのうち誰かが、パッチ未適用の世界中のデバイスを感染させるワームを作る可能性もある
そうしたコードを書くこと自体は比較的単純だろう。標的のすべての連絡先に iMessage でエクスプロイトを送り、繰り返せばよい
しかしこれは逆効果だ。Pegasus の主要な売り文句は標的監視であり、こうしたエクスプロイトは非常に高価だ。制御不能な拡散はより早く検知され、貴重なリソースを燃やしてしまう
もしこうしたエクスプロイトが安価なら、標的のアドレス帳全体を自動攻撃して社会的関係網を掘る亜種を正当化できるかもしれないが、その後は大半が役に立たない膨大なデータを分析しなければならないという問題が生じる
技術的には Pegasus が自分自身を再送信して他のデバイスを感染させることは可能だろうが、ビジネスモデルに合わないため、NSO が定期的にそうするとは思えない
Amnesty International がこれを検出できる、あるいはかつて検出できたツールもある: https://github.com/mvt-project/mvt
ただしこれは競争なので、過去の情報がもはや有効ではない可能性がある。それでも感染には非常に高価なゼロデイを使い、発見されればすぐにパッチが当てられるはずなので、今後も自力で拡散する機能を入れる可能性は低いと思う
誰かを標的にする最も簡単で速い方法だからだ。それ以外では、標的を切り出すプロセスがより複雑になるだろう。したがって Lockdown Mode に加えて、携帯電話でどの番号も有効にせず、一般的なセキュリティ上の予防策を守れば、理論上は十分に保護され得る。究極的にはスマートフォンを使わないことが答えだ
その携帯電話が Lockdown Mode だったのか気になる
Lockdown Mode がこうしたゼロデイの大半を防ぐうえでどれほど有効なのか、知っている人はいる?
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
「Apple の Security Engineering and Architecture チームも確認したように、Lockdown Mode はこの特定の攻撃をブロックすると我々は考えている」
https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
「短期間、iOS 16 の Lockdown Mode 機能を有効にした標的は、PWNYOURHOME エクスプロイトの試行がデバイス上で発生した際にリアルタイムの警告を受け取った。NSO Group がその後、このリアルタイム警告を回避する方法を考案した可能性はあるが、Lockdown Mode が有効化されたデバイスで PWNYOURHOME が成功裏に使用された事例は見ていない」
こうした攻撃は、ルーターレベルで動作する個人用のディープパケットインスペクションや単純なパケットキャプチャツールで検知できないだろうか?
もう一つの単純な解決策は、ディープパケットインスペクションやネットワークアナライザーを内蔵した DIY の携帯用ルーターかもしれない
https://citizenlab.ca/wp-content/uploads/2020/11/Annotated-B...