政府機関の顧客に製品を販売していることで知られるイタリアのスパイウェアメーカーSIOが、WhatsAppなどの人気アプリを装い、標的のデバイスから個人データを盗む一連の悪質なAndroidアプリの開発に関わっていることが、TechCrunchの独占取材で分かった。
昨年末、あるセキュリティ研究者がTechCrunchに3つのAndroidアプリを公開し、それらはイタリアで未知の標的に対して政府によって使用されたスパイウェアである可能性が高いと主張しました。TechCrunchはGoogleとモバイルセキュリティ企業Lookoutにこれらのアプリの分析を依頼し、両社ともこれらのアプリがスパイウェアであることを確認しました。
この発見は、スパイウェアを開発している企業の数と、個人を標的とするさまざまな手法の両方の意味で、政府スパイウェアの世界が広範囲に及ぶことを示しています。
ここ数週間、イタリアはイスラエルのスパイウェアメーカーParagon社製の高度なスパイツールの使用疑惑をめぐるスキャンダルに巻き込まれている。このスパイウェアはWhatsAppユーザーを遠隔操作で標的にし、携帯電話からデータを盗み出すことが可能で、地中海で移民の支援・救助活動を行うNGOの創設者2名とジャーナリスト1名に対して使用されたとされている。
TechCrunchと共有された悪質アプリのサンプルの場合、スパイウェアメーカーとその政府顧客は、より平凡なハッキング手法を使用していました。つまり、WhatsAppなどの人気アプリや携帯電話プロバイダーが提供する顧客サポートツールを装った悪質なAndroidアプリを開発し、配布したのです。
Lookout のセキュリティ研究者は、TechCrunch と共有された Android スパイウェアは Spyrtacus と呼ばれていると結論付けました。これは、マルウェア自体を指していると思われる古いマルウェア サンプルのコード内にこの単語を見つけたためです。
LookoutはTechCrunchに対し、Spyrtacusは政府系スパイウェアの特徴をすべて備えていると述べた。(TechCrunchのために独自にスパイウェアを分析した別のサイバーセキュリティ企業の研究者らも、匿名を条件に同じ結論に達した。)Spyrtacusは、Facebook Messenger、Signal、WhatsAppのチャットだけでなくテキストメッセージも盗み、連絡先情報を抜き出し、デバイスのマイクで通話内容や周囲の音声を録音し、デバイスのカメラで映像を録画するなど、監視目的の様々な機能を備えている。
Lookoutによると、TechCrunchに提供されたSpyrtacusのサンプルや、同社が以前に分析したマルウェアの他のいくつかのサンプルはすべて、イタリア政府にスパイウェアを販売しているイタリアの企業SIOによって作成されたものだったという。
アプリと、それを配布するために使用されたウェブサイトがイタリア語であることを考えると、このスパイウェアがイタリアの法執行機関によって使用された可能性が高い。
イタリア政府および法務省の広報担当者は、TechCrunchのコメント要請に応じなかった。
Lookout社ともう1社のセキュリティ企業によると、現時点では誰がスパイウェアの標的になったのかは不明だという。
お問い合わせ
SIOやその他のスパイウェアメーカーについて、さらに詳しい情報をお持ちですか?職場以外のデバイスとネットワークから、Signal(+1 917 257 1382)、Telegram、Keybase(@lorenzofb)、またはメールでLorenzo Franceschi-Bicchieraiに安全に連絡できます。また、SecureDrop経由でTechCrunchに連絡することも可能です。
SIOは複数回のコメント要請に応じなかった。TechCrunchはSIOの社長兼CEOであるエリオ・カッタネオ氏、そしてCFOのクラウディオ・ペッツァーノ氏やCTOのアルベルト・ファブリ氏を含む複数の上級幹部にも連絡を取ったが、返答はなかった。
マルウェアを分析したルックアウトの研究員クリスティーナ・バラーム氏は、同社がスパイウェア「Spyrtacus」の13種類の異なるサンプルをインターネット上で発見したと述べた。最も古いマルウェアサンプルは2019年のもので、最新のものは2024年10月17日のものだという。バラーム氏によると、他のサンプルは2020年から2022年の間に発見されたという。サンプルの中には、イタリアの携帯電話プロバイダーTIM、ボーダフォン、ウィンドトレが開発したアプリを偽装したものもあったという。
Googleの広報担当者エド・フェルナンデス氏は、「現時点での検出結果に基づくと、このマルウェアを含むアプリはGoogle Playで発見されていません」と述べ、Androidは2022年からこのマルウェアに対する保護機能を有効にしていると付け加えた。Googleによると、これらのアプリは「高度に標的を絞ったキャンペーン」に使用されたという。スパイウェア「Spyrtacus」の旧バージョンがGoogleのアプリストアに掲載されたことがあるかどうか尋ねられると、フェルナンデス氏は、同社が把握している情報はこれだけだと答えた。
カスペルスキーは2024年の報告書で、Spyrtacusの背後にいる人物は2018年にGoogle Playのアプリを通じてスパイウェアを配布し始めたが、2019年にはイタリアの大手インターネットプロバイダーを装った悪意のあるウェブページでアプリをホストするようになったと述べています。カスペルスキーによると、同社の研究者はSpyrtacusマルウェアのWindows版も発見し、iOSとmacOS向けのマルウェア版の存在を示唆する兆候も発見したとのことです。
ピザ、スパゲッティ、そしてスパイウェア
イタリアは20年にわたり、世界有数の政府系スパイウェア企業の拠点となってきました。SIOは、セキュリティ研究者によって実世界で積極的に人々を標的とするスパイウェア製品を製造する企業の長いリストに名を連ね、その最新鋭です。
2003年、イタリアのハッカー、デイビッド・ヴィンチェンツェッティとヴァレリアーノ・ベデスキは、スタートアップ企業「ハッキングチーム」を設立しました。同社は、世界中の法執行機関や政府情報機関向けに、ターンキー方式で簡単に使用できるスパイウェアシステムに対する国際市場の存在をいち早く認識した企業の一つです。その後、ハッキングチームは、イタリア、メキシコ、サウジアラビア、韓国などの機関にスパイウェアを販売しました。
セキュリティ研究者は、過去 10 年間で、Cy4Gate、eSurv、GR Sistemi、Negg、Raxir、RCS Lab など、スパイウェアを販売しているイタリアの企業をいくつか発見しました。
これらの企業の中には、Spyrtacusスパイウェアと同様の方法で配布されたスパイウェア製品を保有していた企業もありました。Motherboard Italyは2018年の調査で、イタリア司法省が価格表とカタログを保有していることを発見しました。そこには、当局が通信会社に対し、監視対象者に悪意のあるテキストメッセージを送信するよう強制する方法が記載されており、例えば、電話サービスの維持を装って悪意のあるアプリをインストールさせることが目的とされていました。
Cy4Gateの場合、マザーボードは2021年に同社が偽のWhatsAppアプリを作成し、ターゲットを騙してスパイウェアをインストールさせようとしていたことを発見した。
このスパイウェアの背後にSIOがいることを示唆する要素はいくつかあります。Lookoutは、マルウェアの遠隔操作に使用されたコマンド&コントロールサーバーの一部が、SIOの子会社であるASIGINTという会社に登録されていることを発見しました。これは、2024年に公開されたSIOの文書に記載されており、ASIGINTはコンピューター盗聴関連のソフトウェアとサービスを開発しているとされています。
イタリアで活動するスパイウェアメーカーのコンプライアンス認証を発行するイタリアの独立機関であるLawful Intercept Academyは、SIOをSIOAGENTと呼ばれるスパイウェア製品の認証保有者として、またASIGINTを同製品の所有者として記載しています。2022年、監視・情報業界誌「Intelligence Online」は、SIOがASIGINTを買収したと報じました。
ミケーレ・フィオレンティーノ氏はASIGINTのCEOであり、LinkedInのプロフィールによると、ナポリ郊外のイタリア・カゼルタ市に拠点を置いています。フィオレンティーノ氏は、2019年2月から2020年2月まで、DataForenseという別の会社に在籍中に「Spyrtacusプロジェクト」に携わっていたと述べており、同社がスパイウェアの開発に関与していたことを示唆しています。
Lookout によると、スパイウェアに関連する別のコマンド アンド コントロール サーバーは DataForense に登録されている。
DataForenseとFiorentinoは電子メールとLinkedInで送られたコメント要請に応じなかった。
Lookoutと匿名のサイバーセキュリティ企業によると、Spyrtacusのサンプルの1つには、開発者がナポリ地方出身である可能性を示唆するソースコードが含まれているという。ソースコードには「Scetáteve guagliune 'e malavita(地獄の少年たちよ、目を覚ませ)」というナポリ方言のフレーズが含まれており、これはナポリの伝統歌「Guapparia(グアッパラリア)」の歌詞の一部である。
イタリアのスパイウェアメーカーが自社のスパイウェアに起源の痕跡を残すのは今回が初めてではない。2019年に無実の人々の携帯電話に感染させたとして摘発された、現在は解散したカラブリア州南部のスパイウェアメーカー、eSurvの場合、開発者はスパイウェアのコードに、カラブリア語で「ゴミ」を意味する「mundizza」という単語と、同州出身のサッカー選手、ジェンナーロ・ガットゥーゾの名前を残していた。
これらは些細な詳細ではありますが、すべての兆候から、このスパイウェアの背後にSIOがいることが示唆されています。しかし、Spyrtacusスパイウェアの使用に関わったのはどの政府機関の顧客だったのか、そして誰を標的にしていたのかなど、このキャンペーンに関する疑問は依然として残っています。
