概要:プレデター・スパイウェアの新たな脅威
監視企業Intellexa製の悪名高いスパイウェア「プレデター」が、「Aladdin」と名付けられた新たなゼロクリック感染メカニズムを悪用していることが明らかになりました。これは、ユーザーが悪意のある広告を「見るだけ」でデバイスが侵害されるという、これまでに知られていなかった強力な手法です。この発見は、Inside Story、Haaretz、WAV Research Collectiveの共同調査、およびAmnesty International、Google、Recorded Futureの技術専門家による裏付け調査「Intellexa Leaks」に基づいており、複数国にまたがるシェルカンパニーの背後に隠されたその複雑なネットワークが露呈しました。
広告を介したスパイウェア配信のメカニズム
2024年に初めて展開され、現在も活発に開発されているとみられるAladdinは、商用モバイル広告システムを利用してマルウェアを配信します。このメカニズムは、ターゲットの公開IPアドレスやその他の識別子によって特定された特定の標的に、悪意のある広告を強制的に表示させるものです。広告プラットフォームに対し、Demand Side Platform(DSP)を介して、広告ネットワークに参加しているあらゆるウェブサイトでその広告を配信するよう指示します。
Amnesty Internationalのセキュリティラボは、「悪意のある広告は、信頼できるニュースウェブサイトやモバイルアプリなど、広告を表示するあらゆるウェブサイトで配信される可能性があり、ターゲットが通常目にする他の広告と同様に表示される」と説明しています。さらに、「内部資料によると、広告を見るだけでターゲットデバイスへの感染がトリガーされ、広告をクリックする必要はない」とされており、その脅威の深刻さがうかがえます。
感染の具体的な仕組みは明らかにされていませんが、Googleは、これらの広告がIntellexaのエクスプロイト配信サーバーへのリダイレクトを引き起こすと述べています。この広告は、アイルランド、ドイツ、スイス、ギリシャ、キプロス、UAE、ハンガリーを含む複数の国にまたがる複雑な広告企業のネットワークを通じて送られます。
このような悪意のある広告に対する防御は複雑ですが、ブラウザでの広告ブロックが有効な第一歩となるでしょう。また、ブラウザで公開IPアドレスをトラッカーから隠す設定も潜在的な防御策となります。しかし、流出した文書からは、Intellexaがクライアントの国の国内携帯通信事業者からこの情報を入手できる可能性も示唆されています。
Samsung Exynosとゼロデイ脆弱性の悪用
今回のリークにおけるもう一つの重要な発見は、「Triton」と呼ばれる別の配信ベクターの存在が確認されたことです。Tritonは、Samsung Exynos搭載デバイスをベースバンドエクスプロイトで標的とし、2Gへのダウングレードを強制して感染経路を確立します。Amnesty Internationalのアナリストは、このベクターが現在も使用されているかについては不明としていますが、「Thor」と「Oberon」というコードネームの他の2つの類似した配信メカニズムが存在し、無線通信または物理的なアクセス攻撃が関与していると考えられています。
Googleの研究者は、Intellexaをゼロデイエクスプロイトにおいて最も多作な商用スパイウェアベンダーの一つとして挙げており、2021年以降にTAGが発見・記録したゼロデイエクスプロイトの70件中15件に関与していると報告しています。Intellexaは、自社でエクスプロイトを開発するだけでなく、必要な標的の全範囲をカバーするために外部からエクスプロイトチェーンを購入しているとGoogleは述べています。
ギリシャでの制裁や継続的な調査にもかかわらず、Intellexaのスパイウェアオペレーターは依然として活発に活動しているとAmnesty Internationalは指摘しています。プレデターがステルス性を高め、追跡が困難になるにつれて、ユーザーはAndroidのAdvanced ProtectionやiOSのLockdown Modeなど、モバイルデバイスに追加の保護を有効にすることを推奨されています。