1 ポイント 投稿者 GN⁺ 2024-04-12 | 1件のコメント | WhatsAppで共有
  • 高リスクの個人を狙う 傭兵スパイウェア の脅威が改めて確認され、Appleは92か国のiPhoneユーザーに標的型攻撃の可能性を通知
  • 今回の通知は、Apple IDに紐づいたiPhoneを リモート侵害 しようとする試みを検知したという内容だが、攻撃者の身元や対象国は公開されていない
  • Appleは、検知に絶対的な確実性はないと前置きしつつも、今回の警告は 高い信頼度 を持つ通知であり、深刻に受け止めるべきだと案内
  • 2021年以降、Appleは150か国以上のユーザーに類似の通知を送っており、昨年10月にはインドのジャーナリストや政治家にも同種の警告を送信
  • Appleは従来の「state-sponsored」という表現を「mercenary spyware attacks」に変更し、Pegasusのような攻撃は一般的なマルウェアよりはるかに高度でまれだと区別

92か国のiPhoneユーザーに送信された脅威通知

  • Appleは水曜日の正午(太平洋時間)に 92か国の個人ユーザー に脅威通知を送信
  • 通知は、Apple IDに紐づいたiPhoneが 傭兵スパイウェア攻撃 によりリモート侵害される可能性があるという警告だった
  • TechCrunchが確認した通知では、攻撃者の身元や、ユーザーが通知を受け取った国は公開されていない
  • ユーザーに伝えられた主な内容は次の通り
    • 攻撃は、そのユーザーが誰であるか、または何をしているかを理由に 個別の標的 とした可能性がある
    • こうした攻撃は、検知の過程で絶対的な確実性を保証することが難しい
    • Appleはこの警告に高い信頼を置いており、ユーザーはこれを深刻に受け止めるべきである
  • Appleは、攻撃者が今後検知を回避するために手法を変える可能性があるため、通知送信の原因についてこれ以上詳しい情報は提供できないと案内

繰り返される通知と用語の変化

  • Appleはこの種の通知を 年に複数回 送っており、2021年以降150か国以上のユーザーに同様の脅威を通知したとサポートページに明記
  • 昨年10月には、インドの複数のジャーナリストや政治家にも同じ警告が送信された
    • その後、Amnesty Internationalは、インドの主要ジャーナリストのiPhoneから、イスラエルのスパイウェア企業NSO Groupの侵入型スパイウェア Pegasus を発見したと報告
    • 最新の脅威通知を受け取ったユーザーの中には、インドのユーザーも含まれていたと事情に詳しい関係者が伝えた
  • 今回の通知は、複数の国が選挙の準備を進める時期に届いた
    • 最近、複数のテック企業は、特定の選挙結果に影響を与えようとする国家支援活動の増加を警告している
    • Appleの通知自体は、送信時期について言及していない
  • Appleは以前、攻撃者を「state-sponsored」と呼んでいたが、現在は関連する表現をすべて「mercenary spyware attacks」に置き換えている
  • Pegasusのような傭兵スパイウェア攻撃は、一般的なサイバー犯罪や消費者向けマルウェアより はるかに高度 で、例外的にまれなタイプに分類される
  • Appleは、こうした攻撃の検知には 社内の脅威インテリジェンス情報と調査 のみを使用していると明らかにした
  • 関連資料: NSOのPegasusスパイウェアが携帯電話を標的にしたか確認するツール

1件のコメント

 
GN⁺ 2024-04-12
Hacker Newsの意見
  • こうした警告を受け取った人が立てたRedditスレッドがある: https://old.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
    興味深いのは、本人がただの普通の大学生だと主張している点で、実際に秘密工作員のような人物ならRedditで質問はしないだろうから、もっともらしくも見える
    ハッカーたちは電話番号のような基準で標的を選んでいるのか気になる。大学生が最近新しい番号を取得し、その番号が以前は標的と結び付いていた可能性も想像はできる。ただ、標的として知られた番号は廃棄する方法があるべきではないかと思う

    • 国家支援型攻撃者や傭兵型攻撃者にとって有効、あるいは理想的な標的が何かについて誤解があるように思う。研究所、産業メーカー、発電所、技術企業で働いている、あるいは特定の教授を知っているというだけでも標的一覧に載り得る
    • その人は単なる大学生かもしれないが、実際の標的と何らかの形で関係がある可能性がある。複雑な作戦の一部なら、間接的なアクセスを試みている最中なのかもしれない
    • みんな学術機密ばかり考えているが、その人が何らかの形でアクティビスト活動に関わっていたかどうかも見るべきだ
      アクティビストを掌握して信頼を崩せるなら、それは途方もない能力だ。xz圧縮バックドアも、特定の政府が自分たちに反対する誰であれ失脚させたり傷を付けたりする能力を得ようとした試みだったとしても、まったく驚かない
    • その人はすでに昨夏にも標的にされている。本人が信じている、あるいは主張しているほど無関心な人物ではない可能性が高い
    • 標的の家族や知人かもしれない。趣味で**オープンソース・インテリジェンス(OSINT)**をかなりやってきたが、標的を探すときは中心から少し外れた対象を通じて三角測量したり、ピボットしたりする形でアプローチすることがある
  • Metaverse、傭兵型スパイウェア、AIによる戦争の標的指定、殺傷ドローンまで見ていると、誰がNeuromancerを読んで「なんてバラ色の未来像なんだ! この素晴らしい未来ビジョンをどうやって実現しよう?」と思ったのか、ずっと気になってしまう

    • SF作家: 私の本ではTorment Nexusを警告の物語として発明した
      テック企業: 古典SF小説『Torment Nexusを作るな』に出てくるTorment Nexusをついに作りました
      https://twitter.com/AlexBlechman/status/1457842724128833538
    • Neuromancerを読んでそう考えた人たちは、1984を読んでも同じように考えた人たちなのだろう
      あるいは1984を読んでいなかったために、その警告を理解できなかった人たちかもしれない
    • 「ちゃんとやることは心配せず、とにかく早くやれ、後で直せばいい」と言った人たちが、そういう未来を作った
      そして結局、直されなかった。私たちはますます速く、安く押し進め続けているように見える。軽量化を続ければ、やがて手足を切り落とさなければならなくなる。先に有能な官僚や管理者が脂肪をすでに削ぎ落としていたなら、次の人が切れる脂肪はあまり残っていない。しかも、ある程度の脂肪は実際には良いものだ
    • 心配はいらない。現実と時間は、過去の小説家が想像できたよりも現実を悪くする方法を見つけ出すだろう。今ではBrave New Worldさえ無邪気に見える
    • ディストピアを読んで「これはひどい。正当で義なる神王として私が全世界を抑圧し、私の極端に狭い視点が理解する善悪に合うようにうまく回るようにしなければ」と考える人は、決して不足しないだろう
      ここでも「技術のための技術」が良いものだとか、どんな技術であれ本質的に社会の進歩であり、進歩 === 善だと信じている人が非常に多い
  • 「Appleは、あなたのApple ID -xxx-に関連付けられたiPhoneが、リモートから侵害しようとする傭兵型スパイウェア攻撃の標的になっていることを検知しました」のようなメッセージを受け取ったら、フィッシング詐欺の一部だと思いそうだ
    こういうものが本物だとどうやって分かるのだろう。普段受け取る他のメッセージと見た目が違えば、なおさら偽物だと思う可能性が高い
    後で見ると、下のコメントのようにappleid.apple.comにログインすれば確認できるらしい。それなら信じられる

    • AppleのWebサイトによると、Appleの脅威通知が本物か確認するには、appleid.apple.comにログインすればよい。Appleが脅威通知を送っていた場合、ログイン後にページ上部にはっきり表示される
      https://support.apple.com/en-lamr/102174
    • クリックするリンクがなく、どこかにログインするよう急き立てていないなら、単なる情報提供のように聞こえる
      銀行がクレジットカード詐欺について連絡してきて、「ここをクリックしてログイン」のような大きなボタンがあれば非常に疑うだろう。逆に情報だけがあり、「詳しくは最寄りの支店にお問い合わせください」程度で終わり、リンクや電話番号がなければ、それほど怪しくはない
    • フィッシング詐欺が携帯電話にそうしたメッセージを別の方法で表示することに成功しているなら、その携帯電話はすでにハッキングされている可能性が高く、もはや信頼できない
    • 最後に、iCloudにログインすれば有効性を確認でき、そこに通知バナーが表示されると書かれている
    • ブラウザのiCloud Webパネル上部にバッジやバナーとして表示されると聞いた。受け取ったメッセージの上の方にも表示されるようだ
  • PegasusとNSOがいまだに存在を許されているのが理解できない。イスラエル企業なのは分かるが、それでもイスラエル政府は彼らに対して何か措置を取ったことがあるのか? これは事実上、ならず者国家のような振る舞いだ

    • PBS FrontlineにNSO Groupについての良いドキュメンタリーがある。彼らは政府の承認を受けており、さらには政治的なレバレッジとしても使われている: https://m.youtube.com/watch?v=6ZVj1_SE4Mo
    • PegasusとNSOがまだ許されている理由は、彼らを禁止する権限を持つ主体こそが最大の顧客だからだ
    • こうした企業は知られていないだけでたくさんある。この状況がイスラエルと大きく関係しているとは思わない
    • イスラエル政府が彼らのしていることを承認していない、という前提なのか?
  • Androidユーザーは、Googleが公表していないだけで、はるかに深刻な可能性が高い
    今回の件を見て、Appleに乗り換えることを真剣に検討している。Appleが安全だからではなく、この程度までユーザーに知らせようとする意思があるから

    • 皮肉なことに、それはむしろ悪いことかもしれない。iMessageはこうしたエクスプロイトの60%以上で重要な段階になっている可能性が高く、複数のUnicode/PDFレンダリングエンジンも多くの攻撃の原因になっている
      Androidのオープンソースという性質は、こうしたものがセキュリティ研究者に先に発見される可能性を高める。Zerodiumが今でもiOS 0-dayよりAndroid 0-dayにより多くの金を支払っている点も忘れてはいけない
      さらにSamsung、Google、Moto、Huaweiなど端末の差が非常に大きいため、単一のエクスプロイトが成功するのは3倍は難しい
    • 行間を読むと、Appleには感染後にすべてのAppleデバイスで根本原因を再現できる可能性があり、ただ公には言っていないだけかもしれない
      感染が最終的に発見されれば、Appleが脆弱性の侵入口を切り分け、その後すべてのデバイスを再スキャンして、同じ攻撃の標的になった可能性のあるデバイスを検出できるという意味
      集団という観点では、フィンガープリントとして機能し得るデータをハッシュ化するのは理にかなっている。極端には、iMessage受信後のコールスタックのような単純なものでもあり得る
    • 「Androidユーザーははるかに深刻な可能性が高い」には根拠が必要
    • Googleはずっと前からこういうことをやっている。2010年ごろ、そういうメールを受け取ったことがある
    • Androidユーザーが一般的にはるかに深刻かというと、そうかもしれない。ただ、最近のGoogle Pixelはセキュリティ面でAppleに近く、より安全だと見る人もいる。他の人が言っているように、Googleも以前から似た通知を送ったことがある
      また、SamsungやMotorolaのような他メーカーのスマートフォンまでGoogleが監視して知らせる責任があるとは思わない
  • 「NSO GroupのPegasusを使うような傭兵型スパイウェア攻撃は極めてまれで、一般的なサイバー犯罪や消費者向けマルウェアよりはるかに高度だ」
    だとすれば、標的にAppleの警告を引き起こすこと自体も、高度な作戦の一部かもしれない
    こうした標的は特定の方法で反応する、あるいは反応せざるを得ない。隠れている人を引きずり出し、行動を観察するだけでも、反応するよう誘導するわけだ
    その標的は次に何をするだろうか。スマートフォンを変えるのか。特定のデジタルサービスに接続するのか。通常の通信手段でネットワークに警告するのか。観察者の視点では、かなり興味深い

    • Appleはウェブサイトで、どこに連絡して案内を受けるべきかを勧めており、もちろんこうした助言を提供しているのはAppleだけではない
      Apple: 「Appleの脅威通知を受け取った場合は、Access Nowの非営利Digital Security Helplineが提供する迅速対応の緊急セキュリティ支援のような専門家の助けを受けることを強く推奨します。Appleの脅威通知の受信者は、ウェブサイトを通じてDigital Security Helplineに年中無休24時間連絡できます。外部機関は、Appleが脅威通知を送った原因に関する情報は持っていませんが、標的となったユーザー向けの個別のセキュリティ助言を支援できます。」
      https://support.apple.com/en-lamr/102174
      Amnesty International: 「Access Now Helplineや、他のSecurity Labの市民社会パートナーも、Appleの通知を受け取った個人を支援する準備ができています。」
      https://securitylab.amnesty.org/latest/2024/04/apple-threat-...
    • スマートフォンを変えるかって?130ドルのMotorolaがより良いセキュリティを提供できるなら、そうだと思う
      2018年にFBIがiPhoneを突破した後でも、誰かがiPhoneに秘密を保管しているというのは驚きだ
  • 実際のメッセージがどんなものか気になるなら、Redditユーザーが2023年の以前のバージョンと一緒に投稿しているものがある。全体が含まれているわけではない: https://www.reddit.com/r/iphone/comments/1c10jai/i_have_rece...

    • メッセージはユーザーに「最新のソフトウェアバージョンであるiOS 16.6にアップデート」するよう勧めているように見える。iPhone 7、7 Plus、SEのようにiOS 15以降へアップデートできない端末のユーザーには、メッセージが違って送られるのか気になる
  • このスパイウェアはApple製品の工学的欠陥のせいで可能になっているのか?

    • 技術的にはそう言える
      ただし、こうした欠陥がまったくない意味のあるソフトウェアは、これまで存在したことがない。言い換えれば、このタイプの攻撃に対しては、iOSはほとんどの他のプラットフォームより優れている可能性が高いと思う
    • NSO Groupについては、Darknet Diariesのポッドキャストを聞いてみるといい。NSO Groupは、iPhoneに使えるゼロデイを持つハッカーに10万ドル以上を支払う可能性が高い
      https://darknetdiaries.com/episode/100/
    • これまでのほぼすべてのコンピューターウイルスやワームなどは、ソフトウェア製品の工学的欠陥によって可能になっていた。今使っているものを含め、世界で作られたすべてのソフトウェアにはバグがある
    • そうだと思う。すべてのプラットフォームにはバグとゼロデイがある
  • 事実上すべての国に当てはまりそうなのに、92か国にだけ通知が行くという点が気になる

    • 国によっては、ユーザーにこのように知らせることが違法なのかもしれない。政府の標的になったという事実を本人に知らせる行為が、一部の国では違法になり得ると思う
  • どの92か国なのかは出ていない

    • エンドユーザー向けメッセージでその数字をわざわざ言及しているのは変だと思った。昨年のメッセージと比べると、少し論評めいた内容に寄っている感じがする