CISAは、国家支援のスパイやサイバー傭兵が、市販のスパイウェアを積極的に悪用してSignalやWhatsAppアカウントに侵入し、デバイスを乗っ取り、同庁が「高価値」ユーザーと呼ぶ人々のスマートフォン内部をひそかに物色していると警告した。
月曜日に公開された警報の中で、米国政府のサイバー機関であるCISAは、フィッシングや偽のQRコード、悪意あるアプリのなりすまし、そして場合によっては完全なゼロクリック型エクスプロイトを組み合わせて、一般には安全だとみなされているメッセージングアプリを侵害している複数の不正行為者を追跡していると述べた。
同庁によると、観測されている活動は、「高価値」の個人、すなわち現職および元の政府高官、軍や政治関係者から、米国、中東、欧州全域の市民社会団体に至るまで、幅広い層への関心の高まりを示しているという。多くのキャンペーンでは、攻撃者はまずスパイウェアを送り込み、その後で情報収集を行い、この足掛かりを利用してさらなるペイロードを展開し、アクセスを深めていった。
「CISAは、市販のスパイウェアを積極的に活用し、モバイルメッセージングアプリケーションのユーザーを標的としている複数のサイバー脅威アクターを把握しています」と同庁は述べた。「これらのサイバーアクターは、高度なターゲティングとソーシャルエンジニアリング手法を用いてスパイウェアを配布し、被害者のメッセージングアプリへの不正アクセスを獲得します。これにより、被害者のモバイルデバイスをさらに侵害し得る、追加の悪意あるペイロードの展開が可能になります。」
CISAが通達の中で指摘したキャンペーンは、攻撃者が得意とする手口を如実に示している。すなわち、アプリを偽装し、アカウント機能を悪用し、その下で動作するスマートフォン自体を攻撃することで、暗号化そのものを完全に迂回してしまうのだ。
たとえば、GoogleのThreat Intelligence Groupは2月に、SandwormやTurlaを含む複数のロシア系グループが、Signalアプリの「リンク済みデバイス」機能を悪用してSignalユーザーを盗聴しようとした手口を詳述した。被害者に細工されたQRコードをスキャンさせることで、攻撃者は攻撃者側が管理する2台目のデバイスをアカウントにひそかに追加できた。いったんペアリングされると、新着メッセージはリアルタイムで両方の端末に届くようになり、モスクワの精鋭たちは傍受し放題となった。
CISAはまた、Palo Alto NetworksのUnit 42が主導した、別のAndroid向けエクスプロイトの取り組みにも言及した。そこではLANDFALLとして知られる商用グレードのスパイウェアがSamsung Galaxyデバイスに配布されていた。今月初めに明らかになったこのキャンペーンでは、Samsungの脆弱性とゼロクリック型のWhatsAppエクスプロイトが組み合わされており、攻撃者は標的の受信トレイに悪意ある画像を送り込むだけで、受信時にデバイスが自動的に侵害されるようになっていた。
すべての活動がエクスプロイトに依存していたわけではない。CISAが挙げた複数のキャンペーン(ProSpyやToSpyを含む)は、SignalやTikTokといったおなじみのアプリになりすますことで成果を上げ、デバイスに入り込んだ後はチャットデータ、録音、ファイルを吸い上げていた。一方、Zimperiumの研究者たちは、偽のTelegramチャンネルや、WhatsApp、TikTok、YouTubeを装ったフィッシングサイトを通じてロシア全土にばらまかれている、ClayRatというAndroidスパイウェアファミリーを特定した。
CISAの警報は、市販スパイウェアベンダーへの監視が強まる中で発せられた。米国は最近、NSO GroupがPegasusを使ってWhatsAppユーザーを標的にすることを禁止し、また今年初めには、一連のセキュリティ上の懸念を受けて、米国下院が職員のデバイスでのWhatsApp使用を禁止した。この動きは、CISAの警告の背後にある不都合な現実を反映している。攻撃者は暗号化メッセンジャーそのものを破っているのではなく、その下に潜り込んでいるだけなのだ。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/25/cisa_spyware_gangs/
