Facebook がサイバー傭兵企業7社に圧力:5万人のユーザーに対するスパイ行為

Facebook Bans 7 ‘Cyber Mercenary’ Companies for Spying on 50,000 Users

2021/12/17 TheHackerNews — 木曜日に Meta Platforms は、監視技術への批判が高まる中、100カ国以上でジャーナリスト/反体制派/権威主義政権批判者/人権活動家などを「無差別に」標的にしていたとして、サイバー傭兵7社のプラットフォームを廃止する措置をとったと表明した。

具体的に言うと、Facebook と Instagram のユーザー5万人に対して、モバイル・デバイスに侵入するためのハッキング・ツールから、ターゲットを監視するための偽 SNS アカウント作成にいたるまで、スパイウェアを駆使したサービスを提供している企業により、ユーザー・アカウントがスパイされていることを警告していた。また、これらの企業とリンクしている 1,500件の Facebook/Instagram のアカウントを削除した。

こうしたサイバー傭兵企業のうち、Cobwebs Technologies/Cognyte/Black Cube/Bluehawk CI の4社はイスラエルに拠点を置いている。また、インドの BellTroX や、北マケドニアの Cytrox 、そして、アジア太平洋地域の少数民族を監視していたとされる中国の未知の企業もリストに含まれている。

Meta Platforms は、それらの企業が監視目的を達成するために、偵察/関与/搾取などの活動を行っているのを確認したと述べている。それらの企業は、膨大な数のツールと架空の人物像を駆使してターゲットをプロファイリングし、ソーシャル・エンジニアリングの手法を用いてコンタクトを確立し、最終的にはフィッシング・キャンペーンなどの手法で悪意のソフトウェアを配信し、デバイスへのアクセスや制御を可能にしていた。

Citizen Lab は独自のレポート Pegasus vs. Predator の中で、亡命中のエジプト人2名が 2021年6月に、Cytrox が構築したスパイウェア Predator を使用し、iPhone を侵害されたことを明らかにした。いずれのハッキングにおいても、シングル・クリックのリンクが WhatsApp 経由でターゲットに送信され、それらのリンクは URL を含む画像として構成されていた。

Predator の iOS 版は、スパイウェア・サーバーから取得した悪意のショートカット・オートメーション実行により動作するが、Citizen Lab が発見したAndroid 版のサンプルでは、会話の音声を録音したり、攻撃者が管理する遠隔地のドメインから追加のペイロードを取得する機能を備えています。

Meta の David Agranovich と Mike Dvilyanski は、「グローバルな雇われ監視産業は、インターネット上の人々をターゲットにした情報収集により、彼らを操って情報を開示させ、そのデバイスやアカウントを危険にさらしていく。これらの企業は、侵入用のソフトウェア・ツールや監視サービスを、あらゆる顧客に無差別に提供するという、広範な業界の一部である」と述べている。

これに関連して、米財務省は、新疆ウイグル自治区のイスラム系少数民族を含む、民族的/宗教的な少数派を弾圧しようとする、中国政府の取り組みに積極的に協力しているとして、さらに8社の中国企業 (ドローンメーカーの DJI Technology/Megvii/Yitu Limited など) を、投資ブラック・リストに追加した。

Meta は、イスラエルの NSO Group が、世界中のジャーナリスト/活動家/反体制派などを監視するために使用していた、現在パッチが適用されているゼロ・クリック iMessage エクスプロイト FORCEDENTRY の詳細な技術分析を行っているが、今回の措置はそれに続くものだ。

Google Project Zero (GPZ) の研究者である Ian Beer と Samuel Groß は、「このエクスプロイトは、最も技術的に洗練されたエクスプロイトの1つだ」と述べている。FORCEDENTRY は、この種の攻撃を困難にするために追加された、BlastDoor の保護機能を回避し、端末を乗っ取り、Pegasus インプラントをインストールするための、巧妙な戦術を数多く用いている。

具体的には、iMessage での GIF 画像の取り扱いの癖を利用して、複合機からテキスト文書をスキャンする際に使用される、JBIG2 画像圧縮規格の脆弱性を利用し、ターゲットに何のアクションも要求することなく、悪意のある PDF を開いて読み込ませるように仕向けていると、Google は指摘している。

David Agranovich と Mike Dvilyanski は、「NSOは、より広範なグローバル・サイバー傭兵産業の一部に過ぎない」と付け加えている。この事実が明らかになった後に、このスパイウェア・ベンダーは、米国政府による経済制裁を科された。この決定を受けて、NSO は Pegasus 部門の閉鎖/売却の可能性を検討している。Bloomberg  は先週に発表したレポート Spyware Firm NSO Mulls Shutdown of Pegasus, Sale of Company の中で、「複数の投資ファンドとの間で、借り換えや完全な売却を含む動きについて協議が行われている」と述べている。

この記事を訳していて思い出したのは、11月10日の「Black Hat Europe:世界のデジタルインフラを保護するには法改正が不可欠だ」というポストです。その基調講演で、スタンフォード大学の Marietje Schaake が、「現在のデジタル・インフラの運用方法が、民主主義の原則を侵食している」と警告していました。その後、NSO Group や Positive Technologies などが、米政府により制裁されていましたが、それ以上の数のサイバー傭兵企業が、Facebook により圧力をかけられたという構図のようです。

%d bloggers like this: