Appleは、メッセージアプリに存在していたセキュリティの欠陥が、洗練されたサイバー攻撃で市民社会のメンバーを標的にするために野放しに悪用されていたことを明らかにしました。
CVE-2025-43200として追跡されているこの脆弱性は、2025年2月10日に、iOS 18.3.1、iPadOS 18.3.1、iPadOS 17.7.5、macOS Sequoia 15.3.1、macOS Sonoma 14.7.4、macOS Ventura 13.7.4、watchOS 11.3.1、およびvisionOS 2.3.1の一部として対処されました。
「悪意のある写真やビデオをiCloudリンク経由で処理する際に論理的な問題が存在していました」と同社は勧告で述べ、この脆弱性は改善されたチェックで対処されたと付け加えました。
iPhoneメーカーはまた、この脆弱性が「特定の個人を標的とした非常に洗練された攻撃で悪用された可能性がある」と認識していることを認めました。
iOS 18.3.1、iPadOS 18.3.1、およびiPadOS 17.7.5のアップデートも、CVE-2025-24200として追跡される別の積極的に悪用されたゼロデイを解決しました。Appleがこの欠陥の存在を今まで公表しなかった理由は現在不明です。
AppleがCVE-2025-43200を武器化する攻撃の性質についてさらに詳細を共有しなかった一方で、Citizen Labは、イタリアのジャーナリストCiro Pellegrinoと無名の著名なヨーロッパのジャーナリストを標的にして感染させるために、この欠陥が利用された法医学的証拠を発見したと述べました。
学際的な研究センターは、この攻撃をゼロクリックと説明し、ユーザーの操作を必要とせずにターゲットデバイスで脆弱性を引き起こすことができると述べました。
「ジャーナリストのデバイスの1つは、2025年1月と2月初旬にiOS 18.2.1を実行している間にParagonのGraphiteスパイウェアで侵害されました」と研究者のBill MarczakとJohn Scott-Railtonは述べました。「この感染はターゲットには見えなかったと考えています。」
両者は2025年4月29日にAppleから、先進的なスパイウェアで標的にされたと通知されました。Appleは2021年11月から、国家が支援する攻撃者によって標的にされたと疑われるユーザーに警告を送信し始めました。
Graphiteは、イスラエルの民間セクター攻撃者(PSOA)Paragonによって開発された監視ツールです。ユーザーの操作なしにメッセージ、メール、カメラ、マイク、位置データにアクセスできるため、検出と防止が特に困難です。このスパイウェアは通常、国家安全保障調査の名目で政府のクライアントによって展開されます。
Citizen Labは、2人のジャーナリストがGraphiteツールを展開するために同じAppleアカウント(コードネーム「ATTACKER1」)からiMessageを送信されたと述べ、このアカウントが彼らを標的にするために単一のParagon顧客によって使用された可能性があることを示唆しています。
この展開は、Metaが所有するWhatsAppが、Pellegrinoの同僚Francesco Cancellatoを含む世界中の数十人のユーザーに対してスパイウェアが展開されたことを明らかにした1月に勃発したスキャンダルの最新の展開です。合計で、Paragonの標的と感染の被害者として公に特定されたのは7人です。
今週初め、イスラエルのスパイウェアメーカーは、調査ジャーナリストの電話に侵入しなかったことを独自に確認することをイタリア政府が許可しなかったことを理由に、イタリアとの契約を終了したと述べました。
「同社はイタリア政府と議会の両方に対し、イタリア法と契約条件に違反してジャーナリストに対してそのシステムが使用されたかどうかを確認する方法を提供しました」と同社はHaaretzへの声明で述べました。
しかし、イタリア政府は決定は相互のものであり、国家安全保障上の懸念から提案を拒否したと述べました。
共和国の安全保障のための議会委員会(COPASIR)は、先週発表した報告書で、イタリアの外国および国内の情報機関が必要な法的承認を得た後、限られた数の人々の電話を標的にするためにGraphiteを使用したことを確認しました。
COPASIRは、スパイウェアが逃亡者の捜索、違法移民の対策、テロリズムの疑い、組織犯罪、燃料密輸、対スパイ活動、および内部安全活動のために使用されたと付け加えました。しかし、Cancellatoの電話は被害者の中に含まれていなかったと述べ、ジャーナリストを標的にした可能性のある人物が誰であるかという重要な疑問が残りました。
しかし、報告書はParagonのスパイウェアインフラストラクチャがバックグラウンドでどのように機能するかを明らかにしています。それは、オペレーターがGraphiteを使用するためにユーザー名とパスワードでサインインする必要があると述べています。スパイウェアの各展開は、顧客が制御し、Paragonがアクセスできないサーバーに配置された詳細なログを生成します。
「これらのスパイウェアの標的に対する説明責任の欠如は、ヨーロッパのジャーナリストがこの非常に侵入的なデジタル脅威に引き続きさらされている程度を浮き彫りにし、スパイウェアの拡散と乱用の危険性を強調しています」とCitizen Labは述べました。
欧州連合(E.U.)は以前、商業スパイウェアの無制限の使用に対する懸念を提起し、より強力な輸出管理と法的保護を求めていました。このような最近の事例は、国内およびE.U.レベルでの規制改革への圧力を強める可能性があります。
Appleの脅威通知システムは内部の脅威インテリジェンスに基づいており、すべての標的化の事例を検出するわけではありません。同社は、そのような警告を受け取ることがアクティブな感染を確認するものではなく、標的攻撃と一致する異常な活動が観察されたことを示していると述べています。
プレデターの復活#
最新の発覚は、Recorded FutureのInsikt Groupが、米国政府がイスラエルのスパイウェアベンダーIntellexa/Cytroxに関連する数人の個人を制裁した数ヶ月後に、プレデター関連の活動の「復活」を観察したと述べたときに発生しました。
これには、新しい被害者向けTier 1サーバーの特定、モザンビークでの以前に知られていない顧客、およびプレデターインフラストラクチャと、以前Intellexaコンソーシアムに関連していたチェコのエンティティFoxITech s.r.o.との接続が含まれます。
過去2年間で、プレデターのオペレーターは、アンゴラ、アルメニア、ボツワナ、コンゴ民主共和国、エジプト、インドネシア、カザフスタン、モンゴル、モザンビーク、オマーン、フィリピン、サウジアラビア、トリニダード・トバゴなど、十数カ国でフラグが立てられています。
「これは、プレデターがアフリカで非常に活発であり、特定された顧客の半数以上が大陸に所在しているという広範な観察と一致しています」と同社は述べました。
「これは、特に輸出制限に直面している国々でスパイウェアツールの需要が高まっていること、公開報告とセキュリティ強化に対応する技術革新が続いていること、制裁と帰属を妨げるために設計されたますます複雑な企業構造を反映している可能性があります。」
翻訳元: https://thehackernews.com/2025/06/apple-zero-click-flaw-in-messages.html