2つの報道によると、あまり知られていないサイバー傭兵会社が作成したスパイウェアを使用するハッカーが、悪質なカレンダー招待を利用してジャーナリスト、野党関係者、NGO職員のiPhoneをハッキングしたという。
マイクロソフトとデジタル著作権団体シチズン・ラボの研究者らは、イスラエルのスパイウェアメーカーであるクアドリームが作成したとされるマルウェアのサンプルを分析した。クアドリームは、iPhone向けのゼロクリックエクスプロイト(つまり、ターゲットが悪意のあるリンクをクリックする必要がないハッキングツール)を開発していると報告されている。
QuaDreamは最近まで、ほとんど気づかれることなく活動を続けてきました。2021年、イスラエルの新聞Haaretzは、QuaDreamがサウジアラビアに製品を販売したと報じました。翌年、ロイター通信は、QuaDreamがNSOグループが提供したものに類似したiPhoneハッキング用のエクスプロイトを販売したと報じました。また、QuaDreamはスパイウェアを運営しているのではなく、政府機関の顧客が運営していると報じました。これは監視技術業界ではよくあることです。
Citizen Labによるインターネットスキャンによると、QuaDreamの顧客は、ブルガリア、チェコ共和国、ハンガリー、ルーマニア、ガーナ、イスラエル、メキシコ、シンガポール、アラブ首長国連邦(UAE)、ウズベキスタンなど、世界各国のサーバーを運用していた。
Citizen Lab と Microsoft の両社は火曜日、QuaDream のスパイウェアとされるものに関する画期的な新技術レポートを公開した。
マイクロソフトは、オリジナルのマルウェアサンプルを発見し、シチズン・ラボの研究者と共有したと発表した。研究者らは、NGO職員、政治家、ジャーナリストなど5人以上のiPhoneがハッキングされた被害者を特定できた。これらの標的へのハッキングに使用されたエクスプロイトはiOS 14向けに開発されたもので、当時はパッチが適用されておらず、Appleも把握していなかったため、いわゆるゼロデイ脆弱性だった。シチズン・ラボによると、QuaDreamのエクスプロイトを入手した政府系ハッカーは、過去の日付を記載した悪意のあるカレンダー招待状を用いてマルウェアを拡散したという。
これらの招待は携帯電話に通知を送らず、そのためターゲットには見えない、と報告書の作成に携わったシチズン・ラボの上級研究員ビル・マルザック氏はTechCrunchに語った。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
アップルの広報担当者スコット・ラドクリフ氏は、同社がアップデートをリリースした2021年3月以降、マイクロソフトとシチズン・ラボが発見した脆弱性が使用されたことを示す証拠はないと述べた。
シチズン・ラボは被害者の氏名を公表していない。被害者は身元を明かしたくないからだ。マルチャック氏は、被害者は皆異なる国に居住しているため、名乗り出るのが難しいと述べた。
「誰も自分のコミュニティーで最初に『はい、私は標的にされました』と告白したいとは思っていない」と彼は語り、被害者が全員同じ国にいて、同じコミュニティーやグループに属している場合は通常、告白しやすいと付け加えた。
マイクロソフトがCitizen Labに連絡する前に、Marczak氏と彼の同僚は、2021年にNSO Groupの顧客が使用したFORCEDENTRYと呼ばれるエクスプロイトに類似したエクスプロイトの標的となった人物を複数特定したと述べた。当時、Marczak氏と彼の同僚は、これらの人物はNSO Groupではなく別の企業が作成したツールによって標的にされたと結論付けた。
分析されたサンプルには、標的のデバイスにマルウェア本体(2つ目のサンプル)が存在する場合、それをダウンロードする最初のペイロードが含まれています。Citizen LabとMicrosoftによると、最後のペイロードは、通話を録音し、携帯電話のマイクを使って密かに音声を録音し、写真を撮影し、ファイルを盗み出し、人物の詳細な位置情報を追跡し、自身の存在を示すフォレンジック上の痕跡を削除するなどの機能を備えています。
それでも、シチズン・ラボの研究者たちは、このマルウェアはQuaDreamのスパイウェアを追跡できる特定の痕跡を残すと述べています。研究者たちは、マルウェアの追跡能力を維持するため、これらの痕跡が何であるかを明らかにしたくないと述べています。彼らはマルウェアの痕跡を「エクトプラズム・ファクター」と呼んでいます。マルザック氏によると、この名前は人気ゲーム「スターデュー・バレー」のクエストに由来しており、彼自身もプレイしているそうです。
シチズン・ラボの研究者らはまた、クアドリームが自社製品の販売にキプロスに拠点を置くインリーチという会社を利用していると主張している。
スパイウェア業界で働いていた人物は、TechCrunchに対し、QuaDreamがInReachを使って「イスラエルの輸出規制を迂回」していたことを認めた。例えば、QuaDreamはサウジアラビアにInReachを使って製品を販売していたという。
しかし、この回避策では、規制を完全に回避することはできなかったようです。
「(クアドリーム社は)アフリカ諸国(モロッコなど数カ国)と4つの契約を結んでいたが、イスラエルの規制変更(36カ国のみに制限)により、契約を履行できなくなった」と、業界の機密事項について話すため匿名を希望した関係者は述べた。
情報筋によると、クアドリームはサウジアラビア以外にも、ガーナ、UAE、ウズベキスタン、そして最初の顧客であるシンガポールにもシステムを販売しているという。また、この関係者は「彼らのシステムは現在メキシコで最も重要なシステムだ」と付け加えた。このシステムはメキシコ大統領によって運用されており、「秘密にしておくため」名目上はメキシコシティの地方自治体に売却されたという。
ニューヨーク市のメキシコ領事館はコメントの要請に応じなかった。
情報筋によると、QuaDreamは「最近Android部門を閉鎖し、現在はiOSのみに注力している」とのことだ。
Citizen Labは、QuaDreamまたはInReachで働いているとされる複数の人物の名前を挙げた。TechCrunchは、そのうちの1人を除いて、コメントを求めたが、返答はなかった。返答した人物は、QuaDreamとは何の関係もなく、過去に自分の名前が誤って同社と関連付けられたことがあると述べた。
QuaDream のマルウェアの発見は、かつて Hacking Team と FinFisher が独占していたスパイウェア業界が、NSO Group だけでなく他の複数の企業で構成されており、そのほとんどがまだ目立たない存在であることを改めて証明している。
「こうした企業のエコシステムは広範囲にわたっており、個々の企業をターゲットにすることは必ずしも業界を抑制するための最適な戦略ではない」とマルザック氏は述べた。
マイクロソフトの報告書に付随するブログ記事で、同社のサイバーセキュリティ政策・保護担当ゼネラルマネージャー兼副法務顧問のエイミー・ホーガン=バーニー氏は、「民間の『サイバー傭兵』企業の爆発的な成長は、世界中の民主主義と人権に対する脅威となっている」と書いている。
「テクノロジー業界は、私たちが『サイバースペース』と呼ぶものの大部分を構築・維持しているため、業界としてサイバー傭兵による被害を抑制する責任があります」とホーガン=バーニー氏は述べている。「彼らが販売するツールや技術の利用がさらに拡大するのは時間の問題です。これはオンライン上の人権に深刻なリスクをもたらすだけでなく、より広範なオンライン環境のセキュリティと安定性にも悪影響を及ぼします。彼らが提供するサービスは、サイバー傭兵に脆弱性を蓄積させ、許可なくネットワークにアクセスする新たな方法を探すことを要求しています。彼らの行動は、標的とする個人に影響を与えるだけでなく、ネットワークや製品全体を無防備にし、さらなる攻撃に対して脆弱な状態に陥らせます。状況がテクノロジー業界の対応能力を超えて悪化する前に、私たちはこの脅威に対抗する必要があります。」
QuaDreamについて、あるいは他の監視技術プロバイダーについて、もっと情報をお持ちですか?ぜひご連絡ください。Lorenzo Franceschi-Bicchieraiへのご連絡は、Signal(+1 917 257 1382)、Wickr、Telegram、Wire(@lorenzofb)、または[email protected]までメールで承っております。SecureDrop経由でTechCrunchにご連絡いただくことも可能です。
