ギリシャの元欧州議会議員(MEP)であるStelios Kouloglou氏が、NSO GroupのPegasusスパイウェアによる感染を繰り返し受けていたことが判明しました。皮肉なことに、同氏はまさにPegasusの悪用を調査する委員会の現職メンバーでした。
Citizen Labのフォレンジック分析により、Kouloglou氏のiPhoneが2022年10月21日、および2023年3月6日から7日にかけて侵害されたことが高い確度で確認されました。この期間、同氏は欧州議会のPegasusおよび同等のスパイウェアに関する調査委員会(PEGA委員会)の代理メンバーを務めていました。
両方の感染は、委員会審議のうち特に機密性の高い時期と一致しており、このスパイウェアがPEGA委員会の非公開情報を捕捉していた可能性が高いとみられます。これはEU議会の機密保持および特権に関する枠組みへの侵害に該当する可能性があります。
ギリシャではIntellexa社のPredatorスパイウェアをめぐる監視スキャンダルが継続中ですが、Citizen Labは今回の攻撃をギリシャ政府に結びつける技術的な証拠を発見していません。また、ギリシャがこれまでNSO Groupの顧客であったことを示す報告も存在しません。
その代わりに研究者らは、インフラの重複を特定しました。Kouloglou氏の1回目の感染で使われたHomeKitルックアップ用のメールアドレスrauharepo888[@]gmail.comは、Citizen LabがAccess Nowと共同で発表した2024年5月の報告書に記載された、伏せ字処理されたApple IDと一致していました。この報告書は、ロシア語圏およびベラルーシ語圏の亡命ジャーナリストや活動家7人が欧州各地でPegasusの標的にされていたことを記録したものです。
このようなメールアドレスは特定のPegasusオペレーター固有のものであると考えられているため、少なくとも2カ国(ギリシャとベルギー)で確認された感染の証拠について、複数のEU加盟国にまたがるライセンス権限を持つ単一の顧客が関与している可能性が示唆されます。
1回目の感染は、PWNYOURHOMEゼロクリックエクスプロイトチェーンによるものとされています。攻撃はHomeKit経由で配信された特別に細工されたNSKeyedArchiveオブジェクトから始まり、続いてMessagesBlastDoorServiceを通じて悪意あるペイロードが配信されました。
AppleはiOS 16.3.1でHomeKitの攻撃経路への対策を講じましたが、MessagesBlastDoorServiceの問題はそれより早く、iOS 16.1前後で修正されていたとみられます。両方の感染が発生した時点で、Kouloglou氏の端末は旧バージョンのiOS 15.5(19F77)のままだったため、両方の段階で悪用の危険にさらされていました。
Kouloglou氏は2023年3月2日、2023年8月29日、2024年4月10日の3回にわたり、Appleから傭兵型スパイウェアによる標的化を警告する通知を個別に受け取っていました。
同氏は研究者らに対し、これらの通知をいずれも見た記憶がないと述べており、通知が届くこととユーザーがそれを認識することとの間に深刻なギャップがあることを浮き彫りにしています。
2022年10月の感染は、Kouloglou氏が選択的手術のため入院していた最中、ジャーナリストのThanasis Koukakis氏の見舞いを受けていた際に発生しました。Koukakis氏自身もPredatorスパイウェアの標的とされたことが確認されている人物です。
これにより、政治的なやり取りだけでなく、保護されるべき健康情報も流出した可能性があり、ギリシャの医療データ機密保護法に抵触する恐れも指摘されています。
Citizen Labが明らかにしたところによると、この感染はPEGA委員会によるキプロス・ギリシャ実態調査ミッションおよび最初の報告書草案の提出のわずか数週間前に発生していました。
2023年3月の感染は、Kouloglou氏がブリュッセルに滞在中、最終報告書の起草作業が大詰めを迎えていた時期に発生しました。この時期は、報告者であるSophie in ‘t Veld氏が並行して進めていたLIBE委員会によるギリシャ当局への聴取ミッションとも重なっています。
Kouloglou氏は、傭兵型スパイウェアの標的となった欧州議員のリストに新たに名を連ねることになりました。これまでにも、カタルーニャ出身の欧州議員であるDiana Riba氏、Jordi Solé氏、Carles Puigdemont氏(いずれもPegasus)、フランスのNathalie Loiseau議員(Pegasus)、ブルガリアのElena Yoncheva議員、ドイツのDaniel Freund議員(Candiru)らが標的とされてきました。ただし、PEGA委員会のメンバーとして在任中にハッキングされたことが確認された人物としては、Kouloglou氏が初めてとなります。
Citizen Labは、PEGA委員会の全メンバーおよびスタッフに対し、DG ITEC(欧州議会情報通信技術総局)を通じた早急なフォレンジック検査の実施、ロックダウンモード(iOS)または高度保護機能(Android)の導入、そして欧州議会および欧州委員会による正式な調査の開始を強く求めています。
翻訳元: https://cyberpress.org/pegasus-spyware-hacked-mep/