iOS 26の新たな課題:スパイウェアの痕跡消去
iOS 26の展開に伴い、重大なフォレンジック上の課題が浮上しています。このオペレーティングシステムは、再起動のたびにshutdown.logファイルを自動的に上書きするようになり、PegasusやPredatorといったスパイウェア感染の決定的な証拠を事実上消去してしまいます。この変更は、デバイスが侵害されたかどうかを判断しようとするフォレンジック調査官やユーザーにとって、大きな後退を意味します。特に、幹部、著名人、市民社会の人物を標的とした高度なスパイウェア攻撃がエスカレートしている現状を鑑みると、この問題は非常に深刻です。
「shutdown.log」の歴史的役割とPegasusの進化
約10年もの間、shutdown.logファイルは、主流のセキュリティ議論では見過ごされがちでしたが、iOSマルウェア検出における貴重なフォレンジックアーティファクトとして機能してきました。SysdiagnosesのUnified Logsセクション(Sysdiagnose Folder → system_logs.logarchive → Extra → shutdown.log)内に保存され、デバイスのシャットダウンシーケンス中の重要なアクティビティを記録していました。
2021年には、公に知られているバージョンのPegasusスパイウェアがshutdown.log内に識別可能な痕跡を残すことが研究者によって発見され、セキュリティ研究者に侵害の重要な指標を提供しました。この発見により、shutdown.logは単なるシステムファイルから、感染したデバイスを合理的な確信を持って特定できる強力な検出ツールへと変貌しました。
しかし、Pegasusの開発元であるイスラエルの監視企業NSO Groupは、この検出方法を迅速に認識し、適応しました。2022年までに、NSO Groupはすでにアプローチを進化させ、より洗練された回避戦術を導入しつつも、意図せず証拠を残していました。
Pegasusの巧妙な進化
shutdown.log検出に対するPegasus開発者の対応は、マルウェアフォレンジックに内在する「いたちごっこ」を示しています。彼らは、明らかなエントリを残すのではなく、shutdown.logファイルを完全に消去し始めました。しかし、これらの消去の試み自体が、独自のフォレンジック署名を生み出しました。一見クリーンなshutdown.logが、Pegasusサンプルの証拠から始まった場合、逆説的にそれ自体が侵害の指標となったのです。セキュリティ研究者は、2022年を通じてこの挙動の複数の事例を文書化し、これらの高度な脅威アクターの継続的な適応を明らかにしました。
2022年以降、Pegasus開発者は、shutdown.logからの存在の徹底的な根絶を確実にするために、デバイスのシャットダウン手順を監視するなど、さらに堅牢な消去メカニズムを実装したことが示唆されています。積極的に侵害されていることが知られているデバイスで、shutdown.logが完全にクリアされ、Pegasus感染の他の侵害指標も消去されている事例が観察されました。このパターンは、意図的にクリアされたshutdown.logが、潜在的に侵害されたデバイスを特定するための貴重なヒューリスティックとして機能するという新たなフォレンジック仮説につながりました。
特に注目すべき指標は、Pegasus 2022のサンプルから現れました。それは、shutdown.log内に/private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networkingエントリが存在することです。このIOCは、NSO Groupの運用戦術における重大な変化も明らかにしました。彼らは、容易に識別可能な類似名のプロセスを使用するのではなく、正当なシステムプロセスになりすますようになり、検出の取り組みを著しく複雑にしました。
Predatorスパイウェアの追随
2023年に初めて観測された洗練されたPredatorスパイウェアは、Pegasusの過去の過ちから学んだようです。Predatorがshutdown.logを積極的に監視し、初期のPegasusサンプルと同様の挙動パターンを示した証拠があることから、セキュリティ研究者は、Predatorもこの重要なフォレンジックアーティファクト内に同等の痕跡を残した可能性が高いと評価しています。
意図せぬ「クリーンアップ」とその影響
AppleのiOS 26は、shutdown.logの処理に大きな変更を導入しました。これは意図的な設計によるものか、予期せぬ結果によるものかは不明です。オペレーティングシステムは、新しいエントリを追加して以前のスナップショットを保持するのではなく、デバイスが再起動するたびにshutdown.logを上書きするようになりました。iOS 26にアップデートし、その後デバイスを再起動したユーザーは、shutdown.logに存在する可能性のある古いPegasusおよびPredatorの検出に関するすべての履歴証拠を意図せず消去することになります。
意図せぬクリーンアップ
この自動上書きは、システム衛生またはパフォーマンス最適化に関する意図的な設計決定を反映している可能性がありますが、これらの高度な脅威を特定する上で不可欠であることが証明されてきた正確なフォレンジックアーティファクトを効果的に「消毒」してしまいます。スパイウェア攻撃がセキュリティニュースの見出しを飾り、市民社会だけでなく高プロファイルの標的が前例のない脅威レベルに直面している時期に、この変更が行われたことは、最悪のタイミングと言えるでしょう。
iOS 18以前のデバイスの場合、調査官はより包括的な検出アプローチを採用できます。containermanagerdログエントリとshutdown.logイベントを関連付けることで、デバイスの侵害に関するより深い洞察が得られます。containermanagerdログは数週間にわたってブートイベントデータを保持するため、調査官は疑わしい不一致を特定できます。例えば、shutdown.logエントリの前に多数のブートイベントがある場合、隠された悪意のあるアクティビティを示している可能性があり、脅威アクターが標準的なフォレンジック調査から積極的に隠蔽しているデバイスの侵害を示唆しています。