iOS 26アップデートでPegasusおよびPredatorスパイウェアの主要IOCが削除される

 (iverify.io)
1 ポイント 投稿者 GN⁺ 2025-10-27 | 1件のコメント | WhatsAppで共有
  • 最新のiOS 26アップデートで、shutdown.logファイルの処理方法が変更され、PegasusとPredatorスパイウェアの感染痕跡が削除される現象が発生
  • 従来はshutdown.logiOSマルウェア検知の中核的なフォレンジック証拠として活用されてきたが、新バージョンでは再起動時にログが上書きされる
  • Pegasusは以前からログ削除および隠蔽技法を継続的に発展させてきており、Predatorも同様の痕跡を残したと分析されている
  • 今回の変更により、セキュリティ研究者とフォレンジック調査担当者が感染の有無を確認しにくくなる問題が提起されている
  • スパイウェア攻撃が増加している時期に、Appleのログ処理ポリシーがセキュリティ透明性に与える影響が大きい点が注目されている

shutdown.logの役割と重要性

  • shutdown.logファイルは、iOSデバイスの終了プロセスで発生するイベントを記録するログであり、マルウェア検知に重要な手がかりを提供する
    • 保存場所はSysdiagnoseフォルダ内のsystem_logs.logarchive → Extra → shutdown.logパス
    • 数年にわたりiOSマルウェア分析で見過ごされてきたが、実際には感染痕跡を残す**「静かな証人」**の役割を果たしていた
  • 2021年に公開されたPegasusスパイウェアのバージョンが、このログに**明確な感染痕跡(Indicator of Compromise, IOC)**を残した事例がある
    • これによりセキュリティ研究者が感染したデバイスを特定できた
    • その後、Pegasusの開発元であるNSO Groupは検知を回避するため継続的に技術を改善した

Pegasusの進化した回避戦略

  • 2022年ごろ、Pegasusは**shutdown.log自体を完全に削除する方式**で痕跡を隠し始めた
    • しかし削除の過程でも微細な痕跡が残り、むしろ**「異常にきれいなログ」**が感染の手がかりとして活用された
    • 複数の事例でこのパターンが発見され、ログ削除そのものが感染指標とみなされるようになった
  • その後Pegasusは、デバイス終了をリアルタイムで監視し、ログを完全削除するメカニズムを導入したと推定されている
    • 研究者は感染が確認されたデバイスで、shutdown.logが空であったり、ほかのIOCとともに削除された事例を多数確認している
    • 結果として、異常に初期化されたログファイルが疑わしいデバイス識別のヒューリスティック指標として使われるようになった

Predatorスパイウェアの類似した痕跡

  • 2023年に観測されたPredatorスパイウェアも、Pegasusの事例を学習したように見える
    • Predatorはshutdown.log監視しながら自身の痕跡を残す動作を行っていた
    • Pegasusと似たログパターンが見つかり、両スパイウェア間の技術的類似性が指摘されている

iOS 26の変更点と影響

  • iOS 26では、shutdown.logが再起動のたびに上書き(overwrite)される方式に変更された
    • 以前のバージョンでは各終了時点のログが累積(append)され、過去の記録が保存される形だった
    • 現在はデバイスを再起動するたびに既存ログが完全に消去され、新しいログに置き換えられる
  • この変化により、既存のPegasusおよびPredator感染証拠が自動的に削除される結果を招いている
    • Appleがこれを意図した設計変更なのか、あるいはバグなのかは明確ではない
    • システム衛生や性能改善が目的の可能性はあるが、フォレンジック分析に致命的な影響を及ぼす
  • 最近は高位幹部や著名人などもスパイウェア攻撃の対象になっており、この時点でのログ削除はセキュリティコミュニティに大きな懸念を引き起こしている

iOS 26以前のバージョンにおけるPegasus 2022 IOC

  • iOS 26以前のバージョンでは、Pegasus 2022感染の特定のIOCが確認されていた
    • /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networkingパスがshutdown.log内に存在する場合、感染の可能性が高い
    • NSO Groupは検知を避けるため、一般的なシステムプロセス名に偽装する戦略を用いていた
    • このため従来の明示的なプロセス名ベースの検知は困難になっている

iOS 18以下のバージョンにおけるログ相関分析

  • iOS 18以下では、containermanagerdログとshutdown.logを比較分析する方式で感染の有無を判断できる
    • containermanagerdログは起動イベントを記録し、数週間にわたってデータを保持する
    • 2つのログ間の不一致(例: 起動イベントは多いのに終了ログが少ない場合)は、意図的な隠蔽の可能性を示唆する
    • これにより、スパイウェアの活動痕跡を間接的に追跡できていた

アップデート前の推奨措置

  • iOS 26アップデート前に次の措置を取ることが推奨される
    • 直ちにSysdiagnoseを生成・保存し、現在のshutdown.logと関連証拠を保全する
    • Appleがログ上書き問題を修正するまで、アップデートを保留するのが望ましい
  • こうした措置は、感染証拠の永久的な喪失を防ぎ、今後のフォレンジック分析のためのデータを確保するうえで不可欠である

関連記事

1件のコメント

 
GN⁺ 2025-10-27
Hacker Newsの意見

  • 記事で IOC が何を指すのか定義されておらず、混乱した
    IOC は Indicators Of Compromise の略。記事中では一度正式名称を書いているが、括弧付きで示されてはいなかった。同じように分からない人がいるかもしれないと思って共有する

    • ありがとう。自分が知っている IOC は 国際オリンピック委員会 だけだった
    • 米軍では IOC を Initial Operational Capability の意味で使う。FOC(Full Operational Capability) と区別される。用語説明リンク 参照
    • 略語や頭字語は、明確に定義されていないなら 非効率 で、知っている人と知らない人の間に壁を作る
      昔 Facebook で「ISO」が「in search of」の意味で使われ始めたときは本当に嫌だった。国際標準化機構の ISO と紛らわしいからだ。
      うちの会社では、一般の人でも意味を推測でき、別の意味に誤解されない略語だけを使うよう定めている
    • TLA(three-letter acronym) の乱用をなくそうという意味で「Help stamp out TLAs」という冗談を言っている。関連する ASS.md リンクも共有している
    • 3文字の略語(TLA) は、あり得る組み合わせが 17,576個 しかない

  • Apple が自らを プライバシー企業 と位置づけていたのは、結局ブランドマーケティングにすぎなかった
    ICE が Paragon と契約してゼロクリックのスパイウェアを使っている一方で、Apple は国家主導の監視を検知できる重要なフォレンジック痕跡を消してしまった。Cook の金と現金によるロビー活動まで含めると、ビッグテックの中でも底辺争いをしている

    • 10年前に Apple で働いていた頃の社内の雰囲気はそんな感じではなかった。もしこうした変化が起きたのなら、かなり最近のことのはずだ。
      おそらく バグ の可能性が高く、政府の要請で後から追加された機能である可能性はほとんどない。過去の FBI との San Bernardino事件 でも Apple は協力しなかった
    • Apple は今後もスパイウェア企業に対抗して iPhone のセキュリティ強化に失敗 し続けると思う
    • Apple はバグバウンティや SDR プログラムを運営しているが、これが本当の 信念 なのか、単にブランド毀損を防ぎたいだけなのか疑問だ。
      もっとできることはあるが、どんな企業でも 政治的圧力 に完全に抗うのは難しい
    • Apple は最初から 欺瞞的なマーケティング が得意だった。偽りの環境配慮、修理不能な方針、虚偽のプライバシー約束など。
      本当にセキュリティが必要なら GrapheneOS のほうがはるかに信頼できる

  • 大規模なシステムでは、小さな修正でも誰かにとっては 問題 になる
    Apple が iVerify コミュニティをなだめるために機能を元に戻すかもしれないが、長期的にはスパイウェアがさらに巧妙に隠れるようになるだろう。
    もはや単なる フォレンジックアーティファクト を超える戦略が必要だ

    • Pegasus や Predator のような iOS 脆弱性は広く知られているのに、Apple がこうした検知手法をコントロールしないのは近視眼的だ。
      「iPhone は安全だ」という信頼は、結局 ブラックボックスへの信頼 にすぎない。iOS 26 でバグが見つかり続けているのに、セキュリティ機能だけが例外だろうか?
    • xkcd 1172xkcd 1053 を引き合いに出し、この状況を風刺的に言及している

  • IOC は shutdown ログ に基づいている
    iOS 26 では、起動のたびに shutdown.log が新しく上書きされ、以前の記録が消える。
    その結果、Pegasus や Predator の感染痕跡が 完全に消去される ことになる

  • Apple が shutdown ログを消すのは、攻撃者が クラッシュ条件や端末の動作を分析 できないようにするためのセキュリティ対策かもしれない
    しかしプライバシーを本気で考えるなら、ユーザーには自分の端末を 深く調べる権利 もあるべきだ

    • 研究段階の攻撃者なら、どうせ root を取ってさらに多くの情報を得られる。
      結局こうした措置は 一般ユーザーだけを制限 しているにすぎない
    • 端末を所有しているからといって、メーカーが望む機能を必ず提供しなければならないわけではない
    • shutdown ログへのアクセス権よりも、実行中プロセスを確認する権限のほうがさらに制限されている。
      Apple はいつも プライバシーを名目に統制強化 を正当化する

  • iOS 26 ベータにはこうした変更はなかった。すぐに修正されることを願う
    YouTube動画 で説明されているように、shutdown.log は実行中プロセスの一覧を記録しており、IOC 検知に役立っていた。
    セキュリティを重視するなら毎日再起動せよという助言もある

  • Apple 社内の誰かが イスラエルのハッカーのために わざと脆弱性を残しているのではないかと疑ってきた

    • 可能性はあるが、iPhone は Apple の中核製品なので、そんな判断は 致命的な損失 を招くはずだ。
      米国内ではすぐ忘れられるだろうが、アジアや欧州市場では信頼を失うだろう。
      むしろ政府が Apple 内部の開発者を 圧力で従わせるか取り込んだ 可能性のほうが現実的だ
    • むしろ 脱獄(jailbreak) のために脆弱性を残しているのならいいのだが
    • イスラエルが絡むと、あらゆる R&D 組織が 陰謀集団 のように見えてしまう現象は興味深い /s

  • 記事の執筆者たちも、Apple が意図的にスパイウェア検知を妨げようとしたとは 見ていない
    iOS 26 アップデートは少し見送り、Apple が修正するまで待つよう勧めている

    • ただし大半のユーザーにとっては、IOC より 一般的なバグ修正 のほうがはるかに重要だ。
      自分が国家級の標的でないなら、アップデートを遅らせるのは 非合理的

  • 良い記事なら本文の前に 用語と略語の一覧 を載せるべきだ。
    それがないなら読む価値はない

  • iPhone のフォレンジックが バックアップアーカイブ を通じてしかできないのはおかしいと思う
    macOS のように システム拡張(EL1+) を許可して、セキュリティ監視を可能にすべきだ

    • セキュリティ研究者として言うと、そうした機能はむしろ スパイウェア業者への贈り物 になる。
      高い権限へのアクセスは危険だ
    • 完全なメモリダンプまで含めると root化の脆弱性 を見つけやすくなるので、Apple は絶対に許可しないだろう
    • iVerify のスタッフが CCC で発表した内容の中に、macOS のように iOS にも EDR メカニズム を公開すべきだという提案があった
    • メモリ内エクスプロイトに手を出そうとすること自体が 不要なリスク だ /s