TokyoBlackHatNews

malwarebytes.com 5分で読了

リークにより、インテレクサがプレデター・スパイウェアを動かし続けるためにゼロデイを使い捨てていることが判明

Intellexa(インテレクサ)はよく知られた商用スパイウェアベンダーであり、各国政府や大企業にサービスを提供しています。その主力製品がスパイウェア「Predator(プレデター)」です。

複数の独立した組織による調査では、Intellexa は最も悪名高い傭兵型スパイウェアベンダーの一つとされており、米国の制裁リストに載せられ、ギリシャで捜査を受けているにもかかわらず、依然として Predator プラットフォームを運用し、新たな標的を攻撃し続けていると説明されています。

この調査は、社内記録、販売およびマーケティング資料、トレーニング動画など、同社から漏えいした極めて機密性の高い文書やその他の資料に基づいています。アムネスティ・インターナショナルの研究者がこれらの資料を精査し、証拠を検証しました。

私にとって最も興味深い点は、Intellexa がモバイルブラウザに対してゼロデイを継続的に使用していることです。Google の Threat Analysis Group(TAG) はこの件についてブログを公開し、15 個のユニークなゼロデイのリストを掲載しています。

Intellexa はゼロデイ脆弱性を購入し、使い捨てるだけの資金力があります。彼らはハッカーから脆弱性を買い取り、バグが発見されてパッチが適用されるまで利用します。パッチが出た時点で、それらは更新されたシステムには通用しなくなるため「燃え尽きた(burned)」と見なされます。

この種の脆弱性の価格は、標的となるデバイスやアプリケーション、悪用の影響度によって変わります。例えば、Chrome に対する堅牢で兵器化されたリモートコード実行(RCE)エクスプロイトで、サンドボックス回避機能を備え、傭兵型スパイウェアプラットフォームで信頼性の高い大規模展開が可能なものには、10 万~30 万ドル程度を支払うことになるでしょう。また 2019 年には、ゼロデイエクスプロイト仲介業者の Zerodium は、Android や iPhone に対する永続性を持つゼロクリックのフルチェーンエクスプロイトに対して、数百万ドルの報酬を提示していました。

そのため、Intellexa を雇って自分たちの関心のある人物をスパイできるのは、各国政府や十分な資金を持つ組織だけなのです。

Google TAG のブログには次のように書かれています。

「2023 年、CitizenLab の同僚と協力し、エジプトの標的に対して実際に使用されていた、完全な iOS ゼロデイエクスプロイトチェーンを捕捉しました。Intellexa によって開発されたこのエクスプロイトチェーンは、Predator として公に知られているスパイウェアを、デバイスにひそかにインストールするために使用されていました。」

自社のエクスプロイトが「燃え尽きる」ペースを遅らせるために、Intellexa はエンドツーエンド暗号化メッセージングアプリを通じて、標的に対してワンタイムリンクを直接送信します。これは一般的な手法であり、昨年、私たちは NSO Group が WhatsApp ユーザーをスパイするために使用した Pegasus やその他のスパイウェア製品のコードを引き渡すよう命じられた件について報告しました

エクスプロイトリンクを見る人が少なければ少ないほど、研究者がそれを捕捉して解析するのは難しくなります。Intellexa はまた、サードパーティプラットフォーム上の悪意ある広告を利用して訪問者のフィンガープリントを採取し、標的プロファイルに合致したユーザーをエクスプロイト配信サーバーへリダイレクトします。

このゼロクリック感染メカニズムは「Aladdin(アラジン)」と名付けられており、現在も稼働中で積極的に開発が続けられていると考えられています。これは商用モバイル広告システムを悪用してマルウェアを配信する仕組みです。つまり、悪意ある広告は、信頼できるニュースサイトやモバイルアプリなど、広告を配信するあらゆるウェブサイトに表示される可能性があり、見た目はまったく普通の広告に見えます。あなたが標的グループに含まれていなければ何も起こりませんが、含まれている場合は、その広告を「見るだけ」でデバイスへの感染が引き起こされ、クリックする必要すらありません。

Image
ゼロクリック感染チェーン
画像提供:アムネスティ・インターナショナル

安全を守る方法

ほとんどの人は、おそらく標的グループに入る心配をする必要はありませんが、それでも取ることのできる実践的な対策があります。

  • 広告ブロッカーを使う。Malwarebytes Browser Guard は良い出発点です。これは Chrome、Firefox、Edge、Safari で動作する無料のブラウザ拡張機能であることはお伝えしましたか? そして、ほとんどの Chromium ベースのブラウザでも動作するはずです(私は Comet でも使っています)。
  • ソフトウェアを常に最新の状態に保つ。ゼロデイに関して言えば、研究者が脆弱性を発見した後でなければ、アップデートは効果を発揮しません。しかし、一度欠陥が公になれば、技術力の低いサイバー犯罪者でさえそれを悪用し始めることが多いため、これらより一般的な攻撃を防ぐにはパッチ適用が依然として不可欠です。
  • デバイスにリアルタイムのアンチマルウェアソリューションを導入する。
  • 不審な送信者からの予期しないメッセージを開かない。それを開くだけで、デバイスの侵害が始まる可能性があります。

翻訳元: https://www.malwarebytes.com/blog/news/2025/12/leaks-show-intellexa-burning-zero-days-to-keep-predator-spyware-running

ソース: malwarebytes.com
#Aladdin感染チェーン #Amnesty International #Google TAG #Intellexa #Predatorスパイウェア #サイバーセキュリティ対策 #ゼロクリック攻撃 #ゼロデイ脆弱性 #モバイルスパイウェア #政府監視

関連記事

巧妙な著作権侵害通知でGoogleログイン情報を狙うフィッシング詐欺

23andMe、数百万人の遺伝情報を流出か——訴訟で明らかに

偽のウイルス警告がモバイルゲームに蔓延