週末、国際報道機関連合は、メキシコ、モロッコ、アラブ首長国連邦を含むいくつかの独裁政権が、ジャーナリスト、活動家、政治家、企業幹部など、最も声高に批判する何千人もの携帯電話をハッキングするために、NSOグループが開発したスパイウェアを使用したと報じた。
パリを拠点とする非営利ジャーナリズム団体「フォービドゥン・ストーリーズ」とアムネスティ・インターナショナルは、監視対象となる可能性のある5万件の電話番号リストを入手し、ワシントン・ポスト紙やガーディアン紙を含む報道機関と共有した。研究者らは数十人の被害者の携帯電話を分析し、NSOのスパイウェア「ペガサス」の標的であったことを確認した。ペガサスは個人の携帯電話の全データにアクセスできる。また、報告書は、NSOグループが厳重に管理する政府機関の顧客に関する新たな詳細情報も明らかにした。監視からのプライバシーは5億人の住民の基本的権利とされている欧州連合(EU)加盟国ハンガリーも、NSOの顧客として名を連ねている。
この報告書は、NSOによる侵入型デバイスレベルの監視の標的となる可能性のある人数が初めて明らかになった。これまでの報告書では、既知の被害者数は数百人から千人以上とされていた。
NSOグループはこれらの主張を強く否定した。NSOはかねてより、自社の顧客が誰をターゲットにしているのかは不明だと述べており、月曜日のTechCrunchへの声明でもその主張を繰り返した。
アムネスティ・インターナショナルの研究者たちは、トロント大学シチズン・ラボによってその研究成果が検証された結果、NSOがペガサスを拡散させる方法として、被害者にリンクを送信し、そのリンクを開くと携帯電話が感染する、あるいはiPhoneのソフトウェアの脆弱性を悪用する「ゼロクリック」エクスプロイトを通じて、全く操作することなく静かに拡散できることを発見した。シチズン・ラボの研究者ビル・マルザック氏はツイートで、NSOのゼロクリックは、今日まで最新バージョンだったiOS 14.6で動作したと述べた。
アムネスティの研究者らは、非常に詳細な技術ノートとツールキットを公開して研究成果を明らかにした。研究者らによると、これらのツールは、自分の携帯電話がペガサスの標的になっているかどうかを識別するのに役立つ可能性があるという。
モバイル検証ツールキット(MVT)はiPhoneとAndroidの両方で動作しますが、動作が若干異なります。アムネスティ・インターナショナルによると、iPhoneではAndroidよりも多くのフォレンジック痕跡が発見されており、そのためiPhoneの方が検出が容易です。MVTを使用すると、iPhone全体のバックアップ(または、iPhoneをジェイルブレイクしている場合はシステム全体のダンプ)を取得し、NSOがペガサスを配信するために使用していることが知られている侵入の痕跡(IOC)を入力できます。例えば、NSOのインフラストラクチャで使用されているドメイン名がテキストメッセージやメールで送信される可能性があります。暗号化されたiPhoneのバックアップがある場合は、MVTを使用して、新しいコピーを作成することなくバックアップを復号化することもできます。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
このツールキットはコマンドラインで動作するため、洗練されたユーザーエクスペリエンスとは言えず、ターミナルの操作方法に関する基本的な知識が必要です。私たちは約10分でツールキットを動作させることができました。これにはiPhoneのバックアップを作成する時間も含まれています。1時間まで確認したい場合は、バックアップを作成することをお勧めします。ツールキットでPegasusの痕跡をスキャンするには、AmnestyのIOC(侵害指標)を入力する必要があります。IOCはGitHubページに掲載されています。IOCファイルが更新された場合は、最新のコピーをダウンロードして使用してください。
プロセスを開始すると、ツールキットはiPhoneのバックアップファイルをスキャンし、侵害の証拠を探します。このプロセスの実行には1~2分かかり、スキャン結果を含むフォルダ内に複数のファイルが出力されます。ツールキットが侵害の可能性のある箇所を発見した場合、出力ファイルにその旨が表示されます。私たちのケースでは、1件の「検出」がありましたが、これは誤検知であることが判明し、アムネスティの研究者に確認した後、IOCから削除されました。更新されたIOCを使用して再度スキャンしたところ、侵害の兆候は見つかりませんでした。
Android 感染の検出はより困難であるため、MVT は Android デバイスのバックアップをスキャンし、NSO が使用していることが知られているドメインへのリンクを含むテキストメッセージを検索するという、同様のシンプルなアプローチを採用しています。このツールキットでは、デバイスにインストールされている悪意のある可能性のあるアプリケーションをスキャンすることもできます。
このツールキットは、コマンドラインツールとしては比較的簡単に使えますが、プロジェクトはオープンソースなので、すぐに誰かがユーザーインターフェースを開発してくれるでしょう。プロジェクトの詳細なドキュメントは、私たちと同じように、きっと役に立つでしょう。
9月17日に更新され、古くなってしまっていたドキュメントへのリンクが更新されました。Signal とWhatsAppで+1 646-755-8849まで安全にヒントを送信できます。また、SecureDropを使用してファイルや文書を送信することもできます。詳細はこちらをご覧ください。
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
