政府スパイウェアに標的化されたハッキングツール開発者へAppleが警告通知を送付

 (techcrunch.com)
2 ポイント 投稿者 GN⁺ 2025-10-23 | 1件のコメント | WhatsAppで共有
  • Appleがあるエクスプロイト開発者に、彼のiPhoneが政府スパイウェアの標的になったことを示す警告通知を送信した事例が発生
  • 当該開発者は以前、TrenchantiOSゼロデイ脆弱性とツールを開発していた専門家だった
  • ここ数か月の間に、同様のスパイウェア警告を受けたエクスプロイト・スパイウェア開発者が追加で確認された
  • スパイウェアゼロデイ攻撃ツールの拡散により、様々なセキュリティ専門家までが被害対象として広がる様子が確認された
  • 社内のハッキングツール流出疑惑と解雇の過程が重なり、冤罪のスケープゴートになった可能性が示されている

事件の概要

  • 今年初頭、あるハッキングツール開発者が、自分の個人iPhoneで「AppleはあなたのiPhoneが標的型の傭兵スパイウェア攻撃のターゲットになっていることを検知しました」というメッセージを受け取り、強い衝撃を受けた
  • 当該人物は報復の危険を懸念して実名を明かさず、Jay Gibsonというペンネームを使った
  • Gibsonは、最近までTrenchantという西側政府向けハッキングツール開発会社でiOSゼロデイ脆弱性とエクスプロイト開発を担当していた
  • 彼は、スパイウェアとエクスプロイト開発者自身がこれらの攻撃の対象となったとして、関連業界で初めて文書化された人物である

事件発生後

  • Gibsonは「何が起こっているのか分からないほどの極度の混乱と、極度の恐怖を感じた」と述べ、即座に電話を電源オフして置き、別の端末を購入した
  • 彼は父親に電話をかけるなど慌てた対応をしており、その時期の状況が非常に混乱していたことを語った
  • GibsonはTechCrunchとのインタビューで「この段階まで事態が進めば、これから何が起こるか誰にも分からない」とし、危惧を表明した

業界内の類似被害者

  • Gibsonのケース以外にも、最近数か月の間にAppleからスパイウェア警告を受けた他のスパイウェア・エクスプロイト開発者が確認されるなど、被害者が追加で存在することが取材で判明した
  • AppleはTechCrunchのコメント依頼に応じなかった

スパイウェアとゼロデイツールの拡散被害

  • Gibsonのケースは、ゼロデイおよびスパイウェアツールが広く普及することで、攻撃対象が多様化する現象を示している
  • スパイウェア・ゼロデイ開発会社は、公式には「ツールは信頼できる政府機関のみが犯罪者やテロリストを対象に使用している」と主張してきた
  • しかしトロント大学傘下のCitizen Lab、Amnesty Internationalなど複数の調査団体は、過去10年間で政府がこれらのツールを、反体制人士、ジャーナリスト、人権擁護者、政治的対立者などを対象に繰り返し使ってきた数十件の事例を確認している
  • 以前にも、セキュリティ研究者がハッカー集団の攻撃対象になったケース(北朝鮮の例など)はあったが、スパイウェア開発者自身が標的となる事件はまれだった

流出疑惑の捜査および内部調査

Apple警告通知後

  • 警告通知を受けた後、Gibsonはスパイウェア攻撃のフォレンジック解析に精通した専門家に連絡した
  • 一次分析では明確な感染痕跡は確認されなかったが、専門家はより高度なフォレンジック分析を推奨した
  • 正確な分析には、Gibsonの機器全体のバックアップが必要だったが、Gibsonは個人情報とセキュリティ上の懸念から追加調査を拒否した
  • 最近、特定のスパイウェア攻撃ではフォレンジック分析で明確な痕跡を見つけられない例も増加している

解雇と内部対立

  • GibsonはApple警告通知の約1か月前、社内チームビルドイベントに参加するためTrenchant Londonオフィスを訪れた
  • 到着後すぐに、会社のマネージャーから二重就労疑惑を理由に業務停止と、すべての会社端末の押収・解析が通知された
  • 約2週間後、Gibsonは会社から正式に解雇通知と和解金の提案を受けた
  • Gibsonは、会社が自社のハッキングツール流出事件のスケープゴートとして自分を指名したと主張している
  • Gibsonと同僚3名は、Chrome関連のゼロデイ開発とは無関係であり、内部チームはプラットフォーム別に厳密に分離されていると明らかにした
  • 元Trenchantの3名の同僚によって、Gibsonの解雇とその理由、チーム内の疑惑および噂が事実であることは独立して立証された

示唆点と追加情報

  • 本件は、スパイウェア技術の拡散がセキュリティ業界の専門家自身を攻撃リスクにさらしていることを示す先導的事例となった
  • 政府や機関がセキュリティ脆弱性の兵器化を進める動向、内部セキュリティリスク、開発者保護の問題など、さまざまな示唆を与えている
  • L3Harris(Trenchantの親会社)の広報担当者は、公式コメントを拒否した
  • Gibsonと元同僚は、彼が流出事件の責任者ではなく、会社の判断が誤っていたという立場だ

関連記事

1件のコメント

 
GN⁺ 2025-10-23
Hacker Newsのコメント

  • 私はこの種の会社と面接を受けたことがある(この記事で言及された会社ではない)。実際、オファーを受け取った後に、彼らが私に対して脆弱性を悪用する姿を目撃したことがある。今回の状況も同じ文脈だと推測している。こうした脆弱性を再販売目的で開発することは、良心的にできることだとは思えない。そうした会社が自社の社員にまで攻撃ツールを使うのをためらわなければ、議会、裁判所、投資銀行、ITリーダーなどの実権者に対しても使うことに制約はないはずだ。結果として、世界で最も影響力のある人々を脅迫できる能力が生まれる。なお、これらの会社が反体制勢力や記者に使う計画まであることは、少なくとも記事では触れられていない。

    • これらの会社は基本的に倫理観の強い人を自動的に排除し、最悪の場合は「他人をこっそり監視したい」と考える人を引き寄せる。この現実が恐ろしい。

    • そのようなことが良心的に開発できるはずがないと問うなら、反情報活動は何らかの形でいずれ行われ、CNE(コンピュータネットワーク活用活動)は人的情報活動よりコストと被害が低い。もちろん、世界的にこの技術が反体制の人物や記者などに悪用される現実は深刻な問題だ。私もこの分野で働きたいとは思わない(そして今はその能力もない)が、NATO加盟国向けにこの業界で働くことに安心している人には論理的な根拠がある。司法・情報機関を根本的に不信視するのは極少数で、この分野で働く家族を誇りに思う家庭も多い。ここで本当に重要なのは「我々の意見は何の意味もない」ということだ。現在の市場環境なら、ほぼすべての国がCNE技術を購入でき、NATO外の企業もこの市場を十分に供給している。

  • 彼らが実際に攻撃を試みたというのは本当に衝撃的だ。具体的にどのように攻撃を受けたのか知りたい。SMSでリンクを送ったのか、他の方法だったのか教えてほしい。

  • もしかしたらこれはただの面接の一部だっただけかもしれない。

  • このような理由で、私はサイバーセキュリティ業界で働きたくない。あまりに危険な分野で、まさに無法地帯のようだ。

  • 記事にあった「Gibsonが脆弱性・スパイウェアを直接開発し、スパイウェア攻撃を受けた最初の文書化された事例かもしれない」という一節を見たが、最近数か月の間にGibson以外にも攻撃を受けたスパイウェアと脆弱性開発者がいたようだ。

  • 私は開発者と前職のドラマより、Appleがこのような決定を下す方式により関心がある。

    • 以前の職場ではWi-FiサンドボックスやStingray系の機器を使っていた可能性があるが、AppleではこのトラフィックがiMessage/PushNotificationの公式チャネルで行われたことが把握できる。

  • 「私はパニック状態だった」というGibsonの言葉を見て、もしかすると本名がJay Gibsonなのに記者が知らなくてそのように書いたのではないかという想像で笑ってしまった。

  • 「Appleが脆弱性開発者に通知」を何度も読み返してやっと意味を理解できた。最初は「Appleの通知がどういうわけか開発者を攻撃した」と読め、後で「Appleの通知はセキュリティ脆弱性を作る開発者に送られるのか」と解釈した。

    • ということは、Appleがその開発者に「脆弱性」を知らせたという意味だろうか? :)

  • 最終的には、組織内の誰かがChromeの脆弱性を流出させ、この人物がある種の生け贄に選ばれたと感じる。もちろん、この状況全体が本当というよりは作り話のように感じられることもある。

  • 本人には自分自身(またはその上位の大手顧客)が何かを漏えいさせたか確認できるツールがあるにもかかわらず、彼らがわざわざ「本当にそうだったのか」をきちんと確認しないだろうと考えたのは、実際には本当に世間知らずだ。おそらく、警告の意味を示す見せしめ的な動きもあっただろう。

  • 「私はパニック状態だった」というGibsonの引用を見て、後には「精密なフォレンジック分析なしにはなぜ攻撃を受けたのか分からない」「本人はAppleの脅威通知がTrenchantの退職状況と関連していると信じている」といった流れが記事に含まれていると理解した。面白いのは、(1) こんなことが自分に起こるとは一度も予想していなかったこと、(2) その状況で報道陣へのインタビューはする一方で報復を恐れている点だ。正直、この程度なら知りたがっている人はすでに本名を全部知っているはずだ。

    • この話は、正直かなり作り話の匂いが強い。あるいは、業界でそれほど有名でない「狙撃手級」の人物かもしれない。脆弱性研究の仕事をするなら、通常すべての攻撃ベクトルを明確に把握していなければならない。Trenchantのような機密性の高い会社にいるなら、Apple端末を業務で(少なくとも完全には)使わないはずだ。通常、私は公開用の通常スマホと、かなりセキュリティを強化した私用スマホを別に用意して運用している。Appleフォンをルーターに接続してパケットトラフィックを見ると、Appleへ向かう膨大なデータが制御不能に出てくる。一方、私が海外へ行くときに持ち歩くカスタムルート済みでde-googledのAndroidフォンで同じ実験をすると、残るのはntpトラフィックだけで、それも証明書の時刻ずれ防止のためだ。

    • この状況で報道に出ることは、本人が消え去られるのを防ぐための戦略的な選択かもしれない。

  • 「監視用ソフトウェアを開発したGibson自身が、スパイウェアの標的になった最初の文書化された事例」という記述から「leopards ate my face(レオパードが私の顔を食べた)」ミームを思い出した。結局このようなツールは、実際に使われることを前提に開発される。

    • この分野ではすでに20年以上前から脆弱性開発者がスパイウェアの主要標的となってきたことがよく知られた事実で、記者はこの業界の事情をよく知らないようだ。

    • 「レオパードが私の顔を食べた」ミームが気になるならここで確認できる。

    • 記事全体が、GibsonがTrenchant/L3Harrisを去った後に出た「あなたの言うこと、私の言うこと」的な論争のように感じられる。

  • 私も以前、国防分野の契約職で同じようなことを経験したことがあるので、Gibsonにはある程度共感できる。こうした会社は、立派な給与と「良い仕事」をさせるという約束で人を引き入れ、最終的には従業員のエネルギーを全て搾取して利益を上げ、問題が起きると責任を全部押し付ける(特に内部の汚職や過誤を良心的に報告しようとすれば即座に追放し、業界で完全に抹消させる)。こうした人に就職しないのが最善だが、「善いこと」や「悪い奴を捕まえる」という素朴な考えで、こうした会社に引っかかり続ける人がいる。結局、「レオパードが私の顔を食べた」ミームになる。

    • 「入隊してトップシークレットクリアランスを取得し、LAN管理と将校にPowerPointへの画像の入れ方を教えれば絶対に失業しない」という言葉を信じて始めた。しかし、実際は誰かのPowerPoint戦争で簡単に交換可能な部品として扱われるだけだった。すべての会議は「はい、承知しました」のみが繰り返される高リスクの演劇のようで、責任感は選択肢で、声を上げればすぐ切られる。数十億ドルのミスでさえ「教訓」として処理され、私にとってはむしろ誠実さが空回りするだけだ。これはまるで「裸の王様」ゲームで、みんな首を絞める紐を付けたまま、機密不安だけを震わせているようなものだ。