WhatsAppは、物議を醸す監視ツールベンダー「NSOグループ」が開発したPegasusに関連する新たなスパイウェアキャンペーンを阻止しました。同時に、米国の裁判所命令に違反したとしてNSOグループに対する法的措置も求めています。
この開示は、2025年の画期的な判決でWhatsAppプラットフォームへのアクセスを恒久的に禁じられたにもかかわらず、NSOがユーザーへの標的攻撃を続けていることを改めて浮き彫りにしています。
WhatsApp、Pegasusスパイウェアキャンペーンを阻止
WhatsAppによると、今回の活動はワンクリック攻撃によってPegasusスパイウェアを配布することを目的としたスピアフィッシング作戦でした。
攻撃者は標的に悪意あるリンクをクリックさせ、外部ドメインにリダイレクトする手法を用いました。これはこれまでに記録されているPegasusの配布手法と一致しています。
このキャンペーンはユーザーからの報告をきっかけに発覚し、内部調査が開始されました。その結果、攻撃者が制御するインフラ(WhatsAppのテストアカウントや標的選定に利用された悪意あるグループを含む)が特定・閉鎖されました。
WhatsAppは声明の中で、今回の活動は米国の連邦法および州法におけるハッキング禁止規定の違反を理由にNSOグループに責任を認めた判決後に発令された恒久的禁止命令に直接違反するものだと述べています。
WhatsAppは現在、NSOを法廷侮辱罪に問うよう裁判所に申し立てており、規制上の制約や米国エンティティリストへの掲載にもかかわらず活動を続けるスパイウェアベンダーへの法的対応を強化する姿勢を明確にしています。
技術的な分析によれば、WhatsAppが依然として重要な攻撃経路であり続ける一方、NSOの運用モデルは単一プラットフォームにとどまらない範囲に及んでいます。
NSOの幹部はかつての法廷証言において、モバイルOS・Webブラウザ・サードパーティアプリを含む複数の「ベクター」を通じたデバイス侵害を積極的に研究していることを認めています。
このマルチベクター能力は、直接的な攻撃経路が封じられた際に、ゼロクリック攻撃からソーシャルエンジニアリングを用いた配布手法へと進化したPegasusの変遷とも一致しています。
WhatsAppはまた、クロスプラットフォームでの検知と脅威ハンティングを支援するため、今回のキャンペーンに関連する侵害指標(IOC)を公開しました。確認された悪意あるドメインは以下のとおりです。
- hxxps://ikhwancast[.]com
- hxxps://ghazacast[.]com
- hxxps://fr24cast[.]com
これらのドメインはWhatsApp環境の外部で感染チェーンを開始するフィッシングの誘導に使用されたとみられており、単一のアプリケーション層を超えた活動の監視が防御側に求められることを改めて示しています。
今回のキャンペーンが持つより広い意味合いは、商業スパイウェア産業に対する根強い懸念を浮き彫りにしています。
WhatsAppは、監視請負業者がジャーナリスト・政府関係者・市民社会の関係者など幅広い人々を標的にし続けており、特に法的枠組みに違反して展開される場合、こうしたツールは国家安全保障上の脅威であると改めて強調しました。
法的措置と並行して、WhatsAppはスパイウェア責任イニシアチブ(SAI)への資金支援も発表しました。SAIは、不正な監視に対するフォレンジック調査・被害者支援・啓発活動を行う連合体です。
このイニシアチブは、ゼロデイ脆弱性の発見やスパイウェアキャンペーンの帰属分析において重要な役割を担ってきたCitizen Labなどとの過去の協力関係を基盤としています。
一連の脅威活動があったにもかかわらず、WhatsAppはエンドツーエンド暗号化 が維持されており、メッセージの内容が直接傍受されることはないと確認しています。
ただし同社は、PegasusのようなスパイウェアによるエンドポイントへのCOMPROMISEは暗号化による保護を完全に迂回してしまうと警告しており、ユーザー自身の注意とデバイスのセキュリティアップデートが不可欠だとしています。
今回の事案は、現代の脅威環境における変わらない現実を示しています。法的・技術的な障壁が高まり続けても、高度なスパイウェアの運用者はソーシャルエンジニアリングやマルチプラットフォームを用いた攻撃へと戦術を適応させ、重要な標的へのアクセスを維持しようとし続けているのです。
翻訳元: https://gbhackers.com/whatsapp-blocks-pegasus-spyware-campaign/
