Predatorスパイウェアのサンプルが「ベンダー管理」のC2を示唆

出典：Cinematic（Alamy Stock Photo経由）

商用スパイウェアのベンダーは長年、自社のソリューションは法執行や国家安全保障を支援する目的で政府機関に販売しているのであり、ベンダー自身は顧客がそれらのソリューションをどのように展開しているかについての可視性や制御が限られている、と主張して自らの事業を擁護してきた。しかし、新たな研究は、少なくともあるベンダーについては、そうした主張をさらに揺るがすものとなっている。

モバイルセキュリティ企業Jamfは昨日のブログ投稿で、悪名高いPredatorスパイウェアが、解析妨害機能の精巧な一連の仕組みを用いており、展開に失敗した際のデータを生成して、オペレーターが将来の攻撃の有効性を高めるために利用できることを詳述した。これらの解析妨害機能はまた、Predatorを所有する商用スパイウェア企業Intellexaが、これまで考えられていた以上に展開状況を把握し制御していることを示唆している。

Jamfの研究者は、GoogleのThreat Intelligence GroupとCitizen Labが2024年12月の研究で公開したiOS向けスパイウェアのサンプルをリバースエンジニアリングした。研究チームは、これまで文書化されていなかった機能として、エラーコードの分類体系、クラッシュレポーター監視システム、そして被害者から録音インジケーターを隠すために設計されたiOS SpringBoardのフックなどを発見した。

Jamfのセキュリティ研究者Shen Yuan氏と、セキュリティ研究担当バイスプレジデント兼ゼネラルマネージャーのNir Avraham氏によれば、新たに明らかになった解析妨害機能の中で最も重要なのはエラーコードシステムだという。Predatorは検知されると単に終了するのではなく、特定のエラーをコマンド＆コントロール（C2）サーバーへ報告し、オペレーターがインプラントが検知された理由や、どのように修正できる可能性があるかを診断できるようにしている。

「この分析により、Predatorの解析妨害能力が、これまで文書化されていたものよりも高度であることが明らかになった」と、Yuan氏とAvraham氏はブログ投稿に記している。「エラーコードの分類体系は、Intellexaのオペレーターが展開が失敗する理由をきめ細かく把握できることを示しており、特定の標的に合わせて手法を適応させることを可能にする。」

PredatorのC2を運用しているのは誰か？

Jamfの研究はIntellexaにとって重要な疑問を提起している。エラー報告および解析妨害のデータはどこへ送られているのか、そしてそのC2インフラを運用しているのは誰なのか。 

Avraham氏はDark Readingに対し、Jamfの研究者はC2がIntellexaによって運用されているのか、個々の顧客によって運用されているのかを決定的には特定できなかったと語った。しかし、エラー報告システムの高度さは、個別顧客による展開というよりも、「集中型のインフラ、あるいは少なくとも厳格に管理された展開フレームワーク」を示唆しているという。

「エラーコードの分類体系は、顧客固有の実装というより、統一されたシステムの一部であるように見える」とAvraham氏はメールで述べている。「このレベルの標準化は通常、ベンダーが制御または管理するインフラを示す。独立した顧客展開の間でこれほどの一貫性を維持するのは難しいからだ。」

商用スパイウェアのベンダーは長年、人権活動家、政治候補者、選挙で選ばれた公職者、ジャーナリスト、その他の個人に対するサイバー攻撃を助長しているとして非難されてきた。最も注目された事例はジャマル・カショギ氏の殺害であり、複数の訴訟によれば、サウジアラビアのジャーナリストでWashington Postのコラムニストだった同氏の通信は、NSO GroupのPegasusスパイウェアによってハッキングされたという。

スパイウェアのベンダーはこれらの疑惑を一貫して否定し、自社製品は政府機関や法執行機関が組織犯罪、テロリズム、その他の国家安全保障上の脅威と戦うために使用しているのだと主張してきた。NSO Groupのような企業はまた、スパイウェアを運用しているのは自社ではなく、顧客が製品をどこでどのように展開するかについての可視性は限られているとも主張している。（近年制裁を受けたIntellexaは、公の声明を控えており、現在商用ウェブサイトも存在しない。）

しかしJamfの研究は、Predatorのケースでは、Intellexaがスパイウェアの個別展開について相当の可視性を持っていることを示唆している。

Intellexaからコメントは得られなかった。Dark Readingは複数の経路で同社に連絡を試みたが、Intellexa.comドメインは関連するメールアドレスとともに放棄されたように見える。

スパイウェアベンダーはどれほどの制御権を持つのか？

先月のGoogleおよびCitizen Labによる研究に加え、アムネスティ・インターナショナルと複数のメディア（Inside Story、Haaretz、WAV Research Collective）は共同で、Predatorを開発した北マケドニアの企業Cytroxの支配権を引き継いだテック企業コンソーシアムであるIntellexaから流出した資料に基づく一連の調査報告を公表した。

これらの調査報告は、商用スパイウェア企業の内部の仕組みや、Predator攻撃の技術的詳細を明らかにした。アムネスティ・インターナショナルによれば、最も重大な暴露の一つは、IntellexaがPredatorの顧客システムにリモートでアクセスできる能力を持っていたことであり、そこには政府顧客のネットワーク内にあるシステムも含まれていた。

これらのベンダーがスパイウェアの展開に対してどれほどの可視性と制御を持っているのかは不明であり、展開は通常、モバイル端末と通信に焦点を当てている。WhatsAppのハッキングをめぐるNSO Groupに対する訴訟で勝訴した際、Metaは、スパイウェアベンダーが顧客のためにPegasusの展開を運用していたため、結果として生じたサイバー攻撃について責任を負うべきだと主張した。 

研究者はPredatorのサンプルのみを分析しており、Intellexaの内部運用についての洞察はないため、JamfはIntellexaが展開に直接関与しているかどうかを判断できなかったとAvraham氏は述べる。製品スイートの一部として、PredatorのC2サーバーは顧客側で展開できるとも同氏は指摘する。

しかしC2がどこに置かれているかにかかわらず、Avraham氏は、Predatorのリバースエンジニアリングにより、エンタープライズソフトウェアに類似した「高度なカスタマーサポート基盤」が示されたと述べている。

「Intellexaがこの基盤を直接運用しているのか、顧客に提供しているのかは別として、システム設計は、展開の可視化とトラブルシューティングのための仕組みを同社が構築していたことを示している」と同氏は言う。

Avraham氏はさらに、Jamfの研究は、どのような条件でスパイウェアが展開を中止するのかという洞察を通じて、Predator防御のための実用的なインテリジェンスを提供すると付け加えた。例えばJamfの研究者は、セキュリティ研究者が利用するiOSのDeveloper Modeが標的端末で有効になっている場合、Predatorが展開を終了させるエラーコードが発生することを突き止めた。 

そのためユーザーは、モバイル保護ツールと、Predatorが回避するようプログラムされている条件やプロセスを組み合わせることで、多層防御を構築できる。「これは従来型のアンチウイルス検知ではない」とAvraham氏は言う。「高度なマルウェアが動作しないよう設計された、敵対的な環境を作り出すことが重要なのだ。」