- Appleは2025年に4回にわたり、著名人を標的としたスパイウェア攻撃についてユーザーに警告を発出
- CERT-FRは、PegasusやPredatorなどの高度なツールがゼロデイやゼロクリック脆弱性を悪用していることを確認
- Appleは、被害を受けたユーザーにデバイスおよびiCloud経由で通知し、少なくとも7件の重大な脆弱性に対処
2025年3月初旬から、Appleは進行中のスパイウェア攻撃について、4回にわたりユーザーに警告を発出しました。
これらの攻撃は高度かつ危険であり、しばしば各国政府や国家にとって特定の関心を持つ個人が標的となっています。
これはフランス国立コンピュータ緊急対応チーム(CERT-FR)によるものです。同機関は新たなセキュリティ勧告の中で、攻撃者がPegasus、Predator、Graphite、Triangulationなどの「特に高度で検知が困難な」スパイウェアを使用していると述べています。
4回の通知
スパイウェアを展開するために、攻撃者はしばしばゼロデイ脆弱性や、被害者の操作を一切必要としないゼロクリック脆弱性(極めて危険なバグ)を悪用します。
標的となるのは著名人、ジャーナリスト、弁護士、活動家、政治家、上級公務員、戦略分野の経営委員会のメンバーなどです。
Appleは、標的となったユーザーに対し、デバイス上およびiCloudアカウントを通じて直接通知しています。CERT-FRによれば、Appleは既に侵害された可能性が高いアカウントのみに通知しているとのことです。「通知を受け取るということは、iCloudアカウントに紐づく少なくとも1台のデバイスが標的となり、潜在的に侵害されている可能性があることを意味します」と発表には記されています。
「侵害が試みられてから通知を受け取るまでの期間は数か月ですが、これは変動します。」
4回の警告は、3月5日、4月29日、6月25日、9月3日に発出されました。
CERT-FRは、攻撃者がどの脆弱性を標的にしたかについては言及していませんが、Appleは今年少なくとも7件のゼロデイ脆弱性に対応したことが分かっています:
- CVE-2025-24085(use-after-freeバグ)
- CVE-2025-24200(権限昇格)
- CVE-2025-24201(権限昇格)
- CVE-2025-31200(メモリ破損)
- CVE-2025-31201(ローカル権限昇格)
- CVE-2025-43200(ロジックの欠陥)
- CVE-2025-4330(ImageIOの脆弱性)
報告書で言及されているスパイウェアのひとつがPegasusで、これはNGO Groupというイスラエルのサイバーセキュリティ企業によって開発されました。2021年11月初旬、米国の国家安全保障および外交政策上の利益に反する行為があったとして、米国によってブラックリストに登録されています。
