スパイウェア「Pegasus」とは?

Pegasusは、過去にNSAの機密情報を流出させた謎のグループであるShadow Brokersの最新ツールです。

彼らがこれまでにリークしたものには、「EternalBlue」と呼ばれるツール、「EternalRomance」と呼ばれるサイバー兵器、「Equation Group」と呼ばれるハッキングツールなどがあり、イラン、ロシア、サウジアラビアのほか、ドイツ議会を標的にして使用されました。

また多くのiPhoneユーザーの影響がでています。

この記事ではPegasusがどのように被害をもたらしているのか、詳しく説明していきます。

 

 

プライバシーを監視するスパイウエア

NSOグループは、2000年に設立されたイスラエルの民間企業であり、世界最大のIT/セキュリティ企業でもあります。

NSOグループは、以下のようなイスラエルの主要なセキュリティ、IT、監視プロジェクトに携わっています。

米英の諜報機関に販売されている「Pegasus」、世界中の多くの政府や企業で使用されている「NOD32」、イスラエルの軍や諜報機関で使用されている「SCL in Israel」などがあります。

ペガサスは、2005年にイスラエル人ジャーナリストのAvi Issacharoff氏によって明らかにされ、それがきっかけで「ペガサス・プロジェクト」が発足しました。

The Pegasus Projectは、NSOグループの元社員へのインタビューをもとに、同社の製品に隠された実態を明らかにした調査報告書です。

NSO Groupは、イスラエルのNSO Group社が開発したモバイル機器向けのスパイウェアであり、The Pegasus Project、Forbidden Storiesによる調査、Amnesty International’s Security Labなど17の報道機関によって明らかにされました。

 

 

情報漏洩の状況

スパイウエアの影響は”The Best of Your Email “とよばれる件名のハッキングされた一連のメールが発見されたことから始まりました。

そこからジャーナリストは、そのリストの正当性を確認する作業を行いました。

その結果、ジャーナリストの電話番号、個人の電子メールアドレス、自宅の住所、勤務先の住所など、個人情報や雇用情報が次々と明らかになりました。

フォービドゥン・ストーリーズでは、ジャーナリストとその家族を標的にした行為について報告してきましたが、2015年2月には、インタラクティブな地図と攻撃のタイムラインを公開し、少なくとも2011年以降、ジャーナリストがハッキング攻撃の対象となっていることを明らかにしました。

ハッキングを報道した報道機関への反撃として、ハッカーはフランスのメディア企業「Mediapart」から2,400通以上の電子メールを盗み出して公開し、同社のジャーナリスト3,000人のアドレスを公表しました。

ドイツのニュース雑誌「Der Spiegel」が入手した情報によると、流出したリストには3,000件以上の電話番号が含まれています。

また、リストには2,500件以上の電子メールと9万人以上の名前が含まれていました。

 

 

スパイウェア「Pegasus」の攻撃方法

モバイル分野では、Pegasusは、ユーザーを操って悪意のあるアプリをインストールさせたり、望ましくないオファーを受けさせたりするフィッシングキャンペーンに広く利用されています。

このようなモバイル向けのフィッシング攻撃は、サイバー犯罪者が効果的なツールを改良してきたため、時間の経過とともにより巧妙で危険なものになってきています。

最もよく知られているPegasus攻撃は、ソーシャルエンジニアリング攻撃を利用したものです。

ソーシャルエンジニアリングの技術を利用して、サイバー犯罪者はユーザーを騙し、悪意のあるペイロード(通常はパスワードを盗むマルウェア)が入った添付ファイルを開かせることができます。

 

攻撃され場合の影響

Pegasusはあらゆるメッセージを解読することができ、実際、暗号化が十分に強固でない場合は、デバイス上のすべてのメッセージを読み取ることができます。

Pegasusの攻撃は、以前に公開された、デバイスに触れることなく感染させることができる「マン・イン・ザ・ミドル」攻撃として知られる技術と類似しており、攻撃者は、デバイスを使用していない人の通信を傍受することができます。

ゼロクリック攻撃の多くは、フィッシングや騙して悪意のあるアプリケーションをダウンロードさせたり、実行させたりするものです。

多くの場合、これらのアプリケーションは、ターゲットの携帯電話やタブレットの脆弱性を悪用するように設計されており、その結果、被害者の携帯電話にインストールされることになります。

最も一般的なゼロクリック攻撃の脆弱性は、攻撃者が携帯電話やタブレットにインストールされているアプリの脆弱性を利用するなどして、標的となる端末にマルウェアをインストールすることができるものです。

また、攻撃者はPegasusを利用して、通信を傍受して盗聴するMITM(man-in-the-middle)攻撃を仕掛けてくる可能性があります。

最近の事例では、中国の攻撃者がPegasusを利用して、信頼できる組織のサーバーになりすまし、Gmailユーザーにスパムを送信しました。

Errata Security社によると、最近の攻撃で使用されたPegasusマルウェアを分析したところ、Petyaグループの亜種であることがわかりました。

このマルウェアは、MacおよびWindowsシステム上の自己完結型バックドアで、USBドライブからロードすることができます。

Pegasusマルウェアは、Secure Remote Desktopプロトコルを利用して、被害者のシステム上にリモートシェルを構築し、攻撃者はそのシェルを利用して悪意のある行動をとります。

研究者は、マルウェアを分析し、Pegasusからデータを抽出するためのカスタムツールを作成することで、大量のデータを復元することができたと述べています。

 

 

スパイウェア「Pegasus」の怖さ

ペガサス・スパイウェアが活動家のスパイ活動に使われていると、米国政府が発表しました。

FBIや米国連邦保安局などの法執行機関で使用されているこのソフトウェアは、コンピュータの所有者が知らないうちにコンピュータを監視することができます。

同様に、ターゲットを脅迫したり、威嚇したりするために、コンピューター上の会話を録音したり、ウェブカメラの映像をオンにしたりすることも可能なのです。

多くの監視プログラムと同様に、ターゲットが持っているかもしれない個人的な文書を提出させることあり危険な状態です。

攻撃者がターゲットのコンピュータを掌握すると、Pegasusプログラムは、ウェブカメラやマイクを使ってスパイ活動を行うように設定することができます。

また、このソフトウェアには強力なバックドアが搭載されており、ユーザーのデータを破壊することなく削除することは極めて困難です。

これは極めて侵略的なツールであり、何十万人もの人々の生活に大きな影響を与えることになります。

実際、NSAはすでにバチカン市国のスパイ活動に利用しています。

NSA自身の文書には、毎日何十万台もの携帯電話の位置、動き、会話を監視し、記録するために使用されている「Stingray」というプログラムが記載されています。

オンライン・プライバシーにとって特に危険で、多くのオンラインでサービスを提供するな企業は、ユーザーの行動を追跡して、ターゲットを絞った広告を販売する方法を模索しているのでそこから被害が広がる可能性があります。

 

 

スパイウェア「Pegasus」への対処法

Pegasusは、「ゼロクリック」のエクスプロイトキットです。

基本的には、攻撃を仕掛けるためのツールのセットです。

Pegasusには2つの主要な部分があります。

基本的にはウェブサーバーであり、攻撃に使用するコマンド&コントロールチャンネルを実行するモジュールがあります。

ゼロクリック攻撃を行うための最良の方法の一つは、インターネットに接続できない場所にサーバーを設置することです。

例えば、VPNプロバイダーは、インターネットに接続されていない場所にサーバーを設置する方法があります。

 

 

システム開発のITパートナー探しをされるのであれば

システム開発のITパートナー探しをされるのであれば「システム開発コンシェルジュ」で是非ご相談いただければと思います。

以下のフォームより開発でご相談いただきたい内容などご相談ください。

    関連記事一覧