説明：Pegasusスパイウェアがデバイスに感染する方法。侵害される可能性のあるデータ

プロジェクトペガサス：インドで数百台の携帯電話を標的にするために使用されたことが明らかになったイスラエルのスパイウェアは、クリックへの依存度が低くなっています。ペガサスは、ターゲットの関与や知識がなくてもデバイスに感染する可能性があります。

ペガサスはNSOグループの主力製品です（エクスプレスイラスト）

2019年11月、ニューヨーク市の技術記者が、パリの国土安全保障に関する見本市であるMilipolに展示された傍受装置を撮影しました。出展者のNSOGroupは、ハードウェアをバンの後ろに置き、携帯性の利便性を示唆しており、おそらく会社による自主規制のために、米国の電話番号では機能しないと述べた。

イスラエルのサイバー巨人が2010年に設立されて以来、NSO製のポータブル基地局（BTS）がメディアの報道で取り上げられたのはおそらくこれが初めてでした。

BTS（または「不正セルタワー」または「IMSIキャッチャー」または「スティングレイ」）は、正規のセルラータワーになりすまして、半径内の携帯電話を強制的に接続させ、傍受されたトラフィックを攻撃者が操作できるようにします。 2019年に撮影されたBTSは、水平に積み重ねられたカードで構成されており、複数の周波数帯域で傍受できる可能性があります。

もう1つのオプションは、ターゲットの携帯電話会社自体へのアクセスを活用することです。そのシナリオでは、攻撃者は不正なセルタワーを必要としませんが、操作のために通常のネットワークインフラストラクチャに依存します。

いずれにせよ、「ネットワークインジェクション」攻撃を開始する機能—ターゲットの関与なしにリモートで実行されます（したがって、 ゼロクリックと呼ばれる ）または知識—与えた ペガサス 、NSO Groupの主力製品であり、世界のスパイウェア市場における競合他社に対する独自の優位性です。

ペガサスは現在、スパイウェアがとりわけ標的に使用されていることを発見した世界的な共同調査プロジェクトの中心にあります。 インドの何百もの携帯電話 。

Pegasusは他のスパイウェアとどう違うのですか？

ペガサス別名Qスイートは、法執行機関や諜報機関が事実上すべてのモバイルデバイスからリモートで密かにデータを抽出できる世界をリードするサイバーインテリジェンスソリューションとしてNSOグループ別名Qサイバーテクノロジーズによって販売されており、イスラエルの諜報機関のベテランによって開発されました。

2018年の初めまで、NSO Groupのクライアントは主にSMSとWhatsAppメッセージに依存して、ターゲットをだまして悪意のあるリンクを開き、モバイルデバイスの感染につながりました。ペガサスのパンフレットでは、これを拡張ソーシャルエンジニアリングメッセージ（ESEM）と説明しています。 ESEMとしてパッケージ化された悪意のあるリンクがクリックされると、電話はオペレーティングシステムをチェックし、適切なリモートエクスプロイトを提供するサーバーに転送されます。

2019年10月のレポートで、アムネスティインターナショナルは、攻撃者がターゲットによる対話を必要とせずにスパイウェアをインストールできるようにする「ネットワークインジェクション」の使用を最初に文書化しました。ペガサスは、さまざまな方法でこのようなゼロクリックインストールを実現できます。無線（OTA）オプションの1つは、プッシュメッセージを密かに送信して、ターゲットデバイスにスパイウェアをロードさせ、ターゲットがとにかく制御できないインストールを認識しないようにすることです。

これは、ペガサスのパンフレットであり、NSOの独自性であり、ペガサスのソリューションを市場で入手可能な他のスパイウェアとは大きく異なります。

どのような種類のデバイスが脆弱ですか？

実質的にすべてのデバイス。 iPhoneは、AppleのデフォルトのiMessageアプリとそれが基づくプッシュ通知サービス（APN）プロトコルを通じて、Pegasusのターゲットになっています。スパイウェアは、iPhoneにダウンロードされたアプリケーションになりすまして、Appleのサーバーを介してプッシュ通知として送信することができます。

2016年8月、トロント大学に本拠を置く学際的な研究所であるCitizen Labは、ペガサスの存在をサイバーセキュリティ会社Lookoutに報告し、2人はAppleへの脅威を報告しました。 2017年4月、LookoutとGoogleはAndroidバージョンのPegasusの詳細をリリースしました。

2019年10月、WhatsAppは、ビデオ通話機能の脆弱性を悪用したとしてNSOGroupを非難しました。ユーザーはビデオ通話のように見えるものを受信しますが、これは通常の通話ではありませんでした。電話が鳴った後、攻撃者は被害者の電話をスパイウェアに感染させるために悪意のあるコードを密かに送信しました。その人は電話に出る必要さえなかった、とWhatsAppのチーフであるウィル・カスカートは言った。

2020年12月、シチズンラボのレポートは、政府の工作員がペガサスを使用して、2020年7月から8月にかけてアルジャジーラとロンドンを拠点とするアルアラビーテレビのジャーナリスト、プロデューサー、アンカー、エグゼクティブが所有する37台の電話をハッキングし、ゼロデイ攻撃を悪用したことを示しています（ Appleの当時の最新のiPhone11をハッキングする可能性のある少なくともiOS13.5.1に対する開発者には未知の脆弱性）攻撃はiOS 14以降では機能しませんでしたが、レポートによると、観察された感染はおそらく全体のごく一部でした。 NSOグループの顧客ベースの世界的な広がりと、iOS 14のアップデート前のほぼすべてのiPhoneデバイスの明らかな脆弱性を考えると、攻撃。

スパイウェアは常にターゲットとするデバイスに侵入しますか？

通常、攻撃者はペガサスシステムにネットワークインジェクションのターゲット電話番号だけを提供する必要があります。ペガサスのパンフレットによると、残りはシステムによって自動的に行われ、ほとんどの場合、スパイウェアがインストールされます。

ただし、場合によっては、ネットワークインジェクションが機能しないことがあります。たとえば、ターゲットデバイスがNSOシステムでサポートされていない場合、またはそのオペレーティングシステムが新しいセキュリティ保護でアップグレードされている場合、リモートインストールは失敗します。

どうやら、Pegasusをかわす1つの方法は、デフォルトの電話ブラウザを変更することです。 Pegasusのパンフレットによると、デバイスのデフォルト以外のブラウザ（およびAndroidベースのデバイスの場合はchrome）からのインストールはシステムでサポートされていません。

このような場合はすべて、インストールが中止され、ターゲットデバイスのブラウザに事前に決定された無害なWebページが表示されるため、ターゲットは失敗した試行のインクリングを持ちません。次に、攻撃者はESEMクリックベイトにフォールバックする可能性があります。パンフレットによると、他のすべてが失敗した場合、攻撃者がターゲットデバイスに物理的にアクセスした場合、ペガサスを手動で注入して5分以内にインストールできます。

どのような情報が危険にさらされる可能性がありますか？

感染すると、電話は攻撃者の完全な制御下にあるデジタルスパイになります。

インストール時に、Pegasusは攻撃者のコマンドアンドコントロール（C＆C）サーバーに接続して、命令を受信および実行し、パスワード、連絡先リスト、カレンダーイベント、テキストメッセージ、ライブ音声通話（エンドツーエンド経由のものも含む）を含むターゲットのプライベートデータを送り返します。 -エンドツーエンド暗号化メッセージングアプリ）。攻撃者は携帯電話のカメラとマイクを制御し、GPS機能を使用して標的を追跡することができます。

ターゲットに警告する可能性のある広範な帯域幅の消費を回避するために、Pegasusはスケジュールされた更新のみをC＆Cサーバーに送信します。スパイウェアは、フォレンジック分析を回避し、ウイルス対策ソフトウェアによる検出を回避するように設計されており、必要に応じて、攻撃者が非アクティブ化して削除することができます。

どのような予防策を講じることができますか？

理論的には、鋭敏なサイバー衛生はESEMの餌から保護することができます。しかし、ペガサスが携帯電話のオペレーティングシステムの脆弱性を悪用した場合、ネットワークインジェクションを阻止するためにできることは何もありません。さらに悪いことに、デバイスがデジタルセキュリティラボでスキャンされない限り、そのことに気付くことさえありません。

基本的な通話とメッセージのみを許可する古風な受話器に切り替えると、確かにデータの露出が制限されますが、感染のリスクを大幅に減らすことはできません。また、電子メールやアプリに使用される代替デバイスは、これらの重要なサービスの使用を完全に放棄しない限り、脆弱なままです。

したがって、最善の方法は、デバイスメーカーがリリースするすべてのオペレーティングシステムの更新とセキュリティパッチを最新の状態に保ち、ゼロデイ攻撃が少なくなることを期待することです。そして、予算があれば、受話器を定期的に交換することが、費用がかかるとしても、おそらく最も効果的な救済策です。

スパイウェアはハードウェアに存在するため、攻撃者はデバイスが変更されるたびに新しいデバイスに正常に感染する必要があります。これは、ロジスティック（コスト）と技術（セキュリティのアップグレード）の両方の課題をもたらす可能性があります。無制限の資源に反対している場合を除いて、通常は国家権力に関連しています。

友達と共有してください: