大規模な調査により、商用スパイウェアベンダーが、デジタル広告を通じた不可視の感染経路を開発する一方で、各国政府施設に配備された監視システムへの秘密のアクセスを維持していたことが明らかになった。
傭兵型スパイウェアベンダーIntellexaに対する新たな告発調査により、すべてのCISOを震撼させるべき運用実態が暴露された。悪名高いPredatorスパイウェアの背後にいる同社は、デジタル広告を通じたゼロクリック感染手法を開発しただけでなく、世界中の政府施設に配備された顧客の監視システムへ、秘密裏にリモートアクセスできる状態を維持していたのである。
Inside Story、Haaretz、WAV Research Collective、そしてAmnesty Internationalが共同で公開した「Intellexa Leaks」調査は、流出した内部文書、トレーニング動画、マーケティング資料に基づき、世界で最も悪名高い商用監視ベンダーの一つであるIntellexaの高度かつ極めて問題のあるオペレーションの実態を明らかにしている。
見出しとなる脅威:デジタル広告を通じたゼロクリック感染
最も衝撃的な技術的事実の一つは、Intellexaの「Aladdin」システムである。これは、グローバルなデジタル広告エコシステムを兵器化し、ユーザーの操作なしにスパイウェア感染を実現するものだ。
このシステムは、標的のデバイス上に悪意ある広告を強制的に表示させることで、標的のスマートフォンを感染させる。社内資料によれば、その広告を「閲覧するだけ」で感染が引き起こされると説明されており、クリックは一切不要だ。
これは理論上の話ではない。Amnesty Internationalは、Aladdinによる感染ベクターが2024年の実際のPredator運用で使用されていたと考えており、さらにIntellexaが2025年にかけても広告ベースの感染ベクターの積極的な開発を続けていることを示す調査結果もある。
エンタープライズのセキュリティチームにとって、その意味するところは極めて深刻だ。ユーザーは、正規のニュースサイトを閲覧しているときや、信頼されたモバイルアプリを利用している最中に、気付かぬうちに侵害される可能性がある。「怪しいリンクをクリックしないように」という従来のセキュリティ意識向上トレーニングは、ユーザーの操作を一切必要としない攻撃の前では無力になる。
ベンダー信頼性の問題:「エアギャップ」システムへのリモートアクセス
この調査は、商用監視ツールに関する従来の前提を根本から揺るがす事実を明らかにした。Intellexaは、Predatorの顧客システムに対してリモートアクセスできる能力を保持しており、その中には政府機関の施設内に物理的に設置されたシステムも含まれていた。
流出したトレーニング動画には、Intellexaのスタッフが商用のTeamViewerソフトウェアを用いて、顧客の稼働中の監視システムに直接接続する様子が映っている。そこには、明確な監督や承認プロセスは見受けられない。動画からは次の点が明らかになっている。
- 少なくとも10の異なる顧客システム(Dragon、Eagle、Falcon、Flamingo、Fox、Glen、Lion、Loco、Phoenix、Rhinoというコードネーム)へのアクセス
- 標的のIPアドレスやデバイス情報を含む、感染試行のリアルタイムな可視化
- 収集済み監視データを格納するシステムへのネットワークアクセス
- 顧客のPredatorダッシュボードに対する事前認証済みのログイン資格情報
政府機関にスパイウェアを販売する企業は長年、自社は顧客の標的データにも顧客システムにもアクセスしないと主張してきた。この調査は、少なくともIntellexaについては、その主張が虚偽であることを証明している。
サードパーティのセキュリティツールを評価するCISOにとって、これはベンダーアクセス、監督メカニズム、「オンプレミス」導入が本当に顧客の期待する分離性を提供しているのかという、極めて重要な問いを突きつける。
制裁下でも続くアクティブな悪用:ゼロデイを燃やし続けるIntellexa
米政府から制裁を受けているにもかかわらず、Intellexaはゼロデイ脆弱性の積極的な悪用を続けている。GoogleのThreat Intelligence Groupは、Intellexaを、モバイルブラウザに対するゼロデイ脆弱性を最も多く悪用しているスパイウェアベンダーの一つと位置付けており、2021年以降にTAGが発見した70件のゼロデイ悪用のうち15件がIntellexaに関連していると報告している。
Intellexaに関連付けられている最近のCVEには、次のものが含まれる。
- CVE-2025-6554(Chrome V8 型混同脆弱性 – 2025年6月、サウジアラビア)
- CVE-2023-41993(Safari RCE)
- CVE-2023-4762, CVE-2023-3079, CVE-2023-2033(Chrome V8の脆弱性)
同社のエクスプロイトフレームワークは高度に洗練されており、スパイウェアのステージャー自体よりもはるかに高度なエクスプロイトが用いられていることから、エクスプロイトは別の第三者から入手した可能性が高いと評価されている。言い換えれば、Intellexaはエクスプロイト市場でゼロデイを購入し、それを大規模に兵器化しているということだ。
感染ベクター:戦術レベルから戦略レベルまで
流出した文書からは、Intellexaがデバイス侵害に対して包括的なアプローチを取っていることが分かる。
戦術的ベクター(近接を要するもの):
- Triton:偽の2G基地局を用いたSamsung Exynosベースバンドのエクスプロイト
- ThorおよびOberon:その他のローカル攻撃(詳細不明)
戦略的ベクター(リモート):
- Mars/Jupiter:ISP/通信事業者の協力を要するネットワークインジェクション
- Aladdin:悪意ある広告によるゼロクリック攻撃(前述の通り)
Recorded Futureによれば、Pulse AdvertiseとMorningStar TECという2社が広告業界で活動しており、Aladdin感染ベクターと関連している可能性が高いとみられている。
現実世界への影響:パキスタン、カザフスタン、そしてその先へ
2025年夏、パキスタンのバローチスターン州の人権派弁護士が、未知の番号からWhatsApp経由で悪意あるリンクを受け取った。これは、同国でPredatorスパイウェアが使用されたことを示す初の報告例となった。
Googleは、パキスタン、カザフスタン、アンゴラ、エジプト、ウズベキスタン、サウジアラビア、タジキスタンなど複数の国にまたがる数百のアカウントに対し、通知を行ったと発表している。
この調査はまた、ギリシャのジャーナリストThanasis Koukakis氏と、エジプトの政治活動家Ayman Nour氏に対する攻撃においてPredatorが使用されていたことを、フォレンジック分析により確認した。流出した内部文書は、被害者デバイス上で確認された侵害指標(IoC)と一致している。
機能:デバイスの完全掌握
一度インストールされると、Predatorは包括的な監視機能を提供する。
- 暗号化メッセージング(Signal、WhatsApp、Telegram)へのアクセス
- 音声録音およびマイクの遠隔起動
- カメラアクセスおよびスクリーンショット取得
- 保存されたパスワード、メール、連絡先、通話履歴へのアクセス
- リアルタイム位置情報の追跡
- キーロギング機能
CISOが取るべき対応
即時に取るべきアクション:
- 高度な保護機能の有効化:ハイリスクユーザーに対し、Lockdown Mode(iOS)やAdvanced Protection(Android)を導入する。
- サードパーティアクセスの見直し:「オンプレミス」のセキュリティツールを含め、すべてのベンダーによるリモートアクセス機能を監査する。
- 広告トラフィックの監視:モバイルアプリに組み込まれた広告SDKに対し、追加の精査を検討する。
- ポリシーの更新:重要人物に対し、ゼロクリック脅威が従来型フィッシングを超えるものであることを理解させる。
戦略的な検討事項:
- 広告エコシステムは、国家レベルの脅威にとって現実的な攻撃ベクターとなっている。
- 商用スパイウェアベンダーは、導入済みシステムへの未公開のアクセスを保持している可能性がある。
- モバイルデバイスのセキュリティには、従来のMDMを超えた多層防御が必要である。
- ゼロデイ脆弱性の悪用は、商用ベンダーにとって依然として経済的に成立している。
より大きな視点
同社およびその幹部に対する度重なる公的な告発、刑事捜査、金融制裁にもかかわらず、Predatorスパイウェアは今なお、世界中の活動家、ジャーナリスト、人権擁護者を違法に監視するために使用され続けている。
Intellexaリークは、商用監視ベンダーが技術的に高度であるだけでなく、顧客の独立性やデータ分離に関する自らの公開声明と真っ向から矛盾する運用能力を、意図的に維持していることを示している。
エンタープライズのセキュリティリーダーにとって、この調査は明確な警鐘となる。サードパーティのセキュリティツールはサードパーティアプリケーションと同等の精査が必要であり、ベンダーアクセスには強固な監督メカニズムが求められ、脅威情勢は従来型のセキュリティコントロールを次第に無力化する方向へと進化し続けている。
詳細情報
完全な技術的詳細、フォレンジック証拠、分析については、Amnesty Internationalによる包括的な技術ブリーフィングを参照されたい。To Catch a Predator: Leak exposes the internal operations of Intellexa’s mercenary spyware
調査について:「Intellexa Leaks」調査は、Inside Story、Haaretz、WAV Research Collective、Amnesty InternationalのSecurity Labによる数カ月にわたる共同作業の成果であり、GoogleのThreat Intelligence GroupおよびRecorded Futureによる技術分析によって裏付けられている。
本記事は、Intellexaリークを調査した複数の情報源の知見を統合したものである。セキュリティチームは、侵害指標およびフォレンジック証拠の詳細について、元の技術ブリーフィングを確認すべきである。
