• 車種別
  • パーツ
  • 整備手帳
  • ブログ
  • みんカラ+
イイね!
2021年07月27日

iOSは14.7に!急げ!?

スマホ乗っ取り「ゼロクリック攻撃」の本当の怖さとは

平和博桜美林大学教授 ジャーナリスト
7/26(月) 8:07






メッセージアプリへの受信だけでスマートフォンが乗っ取られ、あらゆるデータが筒抜けになる――そんな監視システムの脅威が世界的な波紋を呼んでいる。

その\"標的\"とされているのは、エマニュエル・マクロン仏大統領ら大統領3人、現元首相10人、国王1人。さらに50カ国以上、1,000人を超すジャーナリスト、600人以上の政治家、政府関係者など、続々とその名が明らかになっている。

\"標的\"と見られる5万件以上の電話番号リストが、国際的なメディア連携による調査で明らかになった。

その監視プログラム「ペガサス」によるスマートフォン乗っ取りに使われているのが、メッセージを受け取るだけで侵入されてしまい、ユーザーによるリンクのクリックが不要な「ゼロクリック攻撃」。

そして「ゼロクリック攻撃」が集中するのが、アイフォーンだ。

この問題は数年前から指摘されてきたが、今回、5万件以上の電話番号リストの存在が報じられたことで、その身近な危険度が改めてクローズアップされている。

●マクロン氏のアイフォーン
これらがもし事実だとすると、事態は極めて深刻だ。報じられた問題の全容解明を行っていく。

仏大統領府は7月20日、そんなリリースを発表した、とラジオ・フランスなどが報じている。

問題の発端は、その2日前の18日に明らかにされた5万件以上にのぼる電話番号の流出リストだ。

リストを入手したのは仏調査報道NPO「フォービドゥン・ストーリーズ」と国際人権団体「アムネスティ・インターナショナル」。

さらに同NPOを含む合わせて10カ国、17メディア、80人以上のジャーナリストが連携する調査報道プロジェクト「プロジェクト・ペガサス」が共同調査を実施した。

同プロジェクトの調査の結果、このリストが、イスラエルの企業「NSOグループ」の監視システム「ペガサス」を使った監視対象を示したものであるとし、このうち50カ国以上、1,000人を超す人々の身元を特定することができた、として一斉に報じた。

その中のひとつが、マクロン氏のものだったという。さらに流出リストには、2020年7月に退任した前首相、エドゥアール・フィリップ氏をはじめ、当時の14閣僚の電話番号も含まれていた、という。

現首相のジャン・カステックス氏は21日、「一連の調査を命じた」と表明。翌22日には緊急の国家安全保障会議を開催したという。また、マクロン氏は愛用のアイフォーンと電話番号を変えた、と報じられた。

「NSOグループ」は、マクロン氏は「ペガサス」提供先の\"標的\"ではない、と否定している。

だがマクロン氏は22日、イスラエルのナフタリ・ベネット首相に対し、電話で「適切な調査」の実施を改めて確認したという。

「ペガサス」による監視を実行していた国として、プロジェクトはモロッコである可能性を指摘している。

モロッコ政府はこれを否定。「フォービドゥン・ストーリーズ」と「アムネスティ・インターナショナル」に対し、22日に名誉棄損の刑事告訴を行った、という。

流出リストにはこのほか、イラクのバルハム・サーレハ大統領、南アフリカのシリル・ラマポーザ大統領、さらにパキスタンのイムラン・カーン首相、エジプトのムスタファ・マドブーリー首相、モロッコのサアディ・ディン・エル・オトマニ首相らの名前もある。モロッコは国王のモハメッド6世の名前もある。

また、エドゥアール・フィリップ氏のほか、イエメン、レバノン、ウガンダ、カザフスタン、アルジェリア、ベルギーの元首相6人の名前もあった。

これらを合わせると、政治家、政府関係者は34カ国で600人以上にのぼる。

●ジャーナリストを標的にする
5万件を超すという膨大な数の電話番号の流出リスト。

それらの共同調査に乗り出したのは、「フォービドゥン・ストーリーズ」のほか、下記の16メディアだ。

ガーディアン(英)、ルモンド(仏)、ワシントン・ポスト(米)、南ドイツ新聞(独)、ディー・ツァイト(同)、アリステギ・ノティシアス(メキシコ)、ラジオ・フランス(仏)、プロセソ(メキシコ)、組織犯罪・汚職報道プロジェクト(OCCRP、米)、ナック(ベルギー)、ルソワール(同)、ハアレツ/ザ・マーカー(イスラエル)、ザ・ワイアー(インド)、ダラジ(レバノン)、ディレクト36(ハンガリー)、PBSフロントライン(米)

OCCRPが、流出リストの電話番号のうち、名前が判明している260人のデータベースを作成している。

職業別に見ると、最も多いのがジャーナリストだ。データベースにまとめられているのは123人。判明している数では少なくとも188人に上るという。

「ペガサス・プロジェクト」に参加した80人を超えるジャーナリストの中には、自らの電話番号も流出リストに含まれていた人々もいた。

OCCRPに所属するアゼルバイジャンの調査報道ジャーナリスト、ハジジャ・イスマイロワ氏もそのひとりだ。データベースに登録されている、アゼルバイジャンに標的にされたと見られるジャーナリストは43人と突出している。

政府からの迫害を受け、投獄された経験もあるイスマイロワ氏は、「フォービドゥン・ストーリーズ」のインタビューにこう語っている。

鉄のテントに閉じこもる以外、通信手段への加入を防ぐ手立てはないということだ。

このほか、インドの標的とされた可能性があるジャーナリストが24人、メキシコが23人、モロッコが14人などとなっている。

●カショギ氏の妻と婚約者
2018年10月にトルコ・イスタンブールのサウジアラビア総領事館で殺害されたサウジ人ジャーナリストのジャマル・カショギ氏の家族らも、その標的になっていたという。

ワシントン・ポストによると、カショギ氏の妻、ハナン・エタル氏のアンドロイドは、カショギ氏殺害の半年前、「ペガサス」の標的となっていた。またカショギ氏の婚約者、ハティジェ・ジェンギズ氏のアイフォーンは、カショギ氏の殺害の4日後には、「ペガサス」が侵入しており、その後、5回にわたってハッキングされていた、という。

このほか、カショギ氏の知人の元アルジャジーラのジャーナリストの携帯電話も、「ペガサス」が侵入していた、という。

ただ、カショギ氏本人の携帯電話はトルコの捜査当局に提出されており、「ペガサス」の監視対象となっていたかどうかは確認できていない。

●監視プログラム「ペガサス」とは
「アムネスティ・インターナショナル」は、「ペガサス」による侵入を検証できるプログラム「モバイル・ベリフィケーション・ツールキット(MVT)」をプログラム共有サイト「ギットハブ」で公開している。

「アムネスティ・インターナショナル」がこの「MVT」を使って「ペガサス」の侵入が疑われた67台のアイフォーンを分析したところ、23台で侵入が成功しており、14台で侵入を試みた形跡があった、という。残る30台では、端末が紛失、交換されるなどの事情で結論が出なかったという。

侵入が確認できたのは、いずれもアイフォーンだった。分析対象のうち15台はアンドロイド端末だったが、いずれも侵入の形跡は認められなかった。

これは、「アムネスティ・インターナショナル」が侵入を検知するのに必要なデータが、アンドロイドでは十分ではないことも影響しているという。

「ペガサス」は、端末からの情報収集を目的に使用される「スパイウェア」と呼ばれるプログラムの一種。スマートフォンに侵入すると、端末のあらゆる機能を乗っ取ることができるという。

通話の盗聴に加えて、「ワッツアップ」のような暗号化されたメッセージアプリの通信内容も収集可能。さらに、メール、ソーシャルメディアの投稿、通話履歴、インターネット閲覧履歴、アドレス帳、カレンダー、パスワード、メモなど、あらゆるデータを抜き出すことができるという。

さらに、スマートフォンのマイクやカメラを、所有者に気づかれずに「オン」にして録音・録画をすることもでき、GPSデータも取得できるため、位置情報や移動情報も入手可能だとしている。

これによって、スマートフォンの所有者を24時間監視することができるようになる。

NSOグループは、2021年6月に公表した透明性レポ―トで、「ペガサス」の提供先は世界40カ国、60機関に上るとしており、その内訳は51%が情報機関、38%が法執行機関、11%が軍だという。

ただ、具体的な国名などは明らかにしていない。

トロント大学ムンク国際問題・公共政策大学院の「シチズンラボ」による2016年から2018年にかけての調査では、「ペガサス」が45カ国で使用されていることが確認されている。

この中には、バーレーン、カザフスタン、メキシコ、モロッコ、サウジアラビア、アラブ首長国連邦などが含まれている。

ただ、「ペガサス・プロジェクト」による取材に対し、「ペガサス」の提供元である「NSOグループ」は今回指摘された疑惑を全面否定しており、訴訟の構えも見せている。

NSOグループは、あなた方の報道における虚偽の主張を強く否定する。その多くは裏付けのない見解であり、その情報源の信頼性、さらには記事そのものの根拠について、深刻な疑いを引き起こすものだ。

声明の中で、同社の技術はテロ攻撃、銃犯罪、人身売買、薬物密輸などの対策のために国家機関などに使用されており、悪用が判明した場合には使用停止措置を講じる、としている。

また、「ペガサス・プロジェクト」の取材に対し、ルワンダ、ハンガリー、モロッコ、インドの各国政府は、「根拠のない主張」などと反論している。

●「ゼロクリック攻撃」の中身
今回の「アムネスティ・インターナショナル」による検証では、「ペガサス」は様々な方法によって、標的となったスマートフォンにインストールされていたことが明らかになっている。

多くのケースで使われていたのが、メッセージアプリへの攻撃だ。

「ペガサス」のダウンロードサイトへのリンクとともに、知人などを装ったショートメッセージを送り付けるという手法は、2016年から2018年にかけて多く見られた、という。

だが、2019年から目立つようになったのが、メッセージアプリの従来は知られていなかった弱点(ゼロデイ)を悪用した「ゼロクリック攻撃」だという。

従来の攻撃では、スマートフォンの所有者がメッセージのリンクをタップ(クリック)することで、「ペガサス」がインストールされてしまう。

だが、所有者のタップすら必要なく、悪意あるプログラムをインストールするのが「ゼロクリック攻撃」だ。

「ゼロクリック攻撃」は2016年ごろから知られるようになり、いくつかの事件でも、その名前が取り沙汰されてきた。

2019年には、メッセージアプリ「ワッツアップ」の音声通話(VOIP)での弱点を悪用した「ゼロクリック攻撃」で、ジャーナリストや人権活動家、政治家、外交官など1,400人におよぶユーザーへの「ペガサス」の侵入が発覚。

親会社のフェイスブックとワッツアップは同年10月末に、NSOグループを相手取った訴訟をカリフォルニア北部地区連邦地裁に起こしている。

「ゼロクリック攻撃」では、アイフォーンにメッセージアプリ「アイメッセージ」の弱点を突くケースが多いといわれる。

2019年には、グーグルのセキュリティ研究チーム「プロジェクトゼロ」が指摘しているのを始め、トロント大の「シチズンラボ」もこの問題を取り上げてきた。

アップルもOSの更新などでこの攻撃への対処を行ってきている。だが、攻撃手法もまた、進化しているようだ。

今回の「アムネスティ・インターナショナル」による検証では、2021年5月にリリースされた「iOS 14.6」のアイフォーン12が同年7月に「ゼロクリック攻撃」で侵入されたケースも確認されたという。

●ユーザーができること
アップルは「アムネスティ・インターナショナル」による検証報告翌日の7月19日、最新版の「iOS 14.7」をリリースしている。

アップルのセキュリティ担当、アイヴァン・クリスティック氏は、ワシントン・ポストなどへの声明でこう述べている。

指摘されるような攻撃は極めて洗練されており、開発には数百万ドルのコストがかかるが、おおむね有効期間は短く、限られた人々を標的としたものだ。つまり当社の大多数のユーザーへの脅威とはいえないということだ。だが、当社はすべてのユーザーを守るため不断の努力を行い、端末とデータ保護のために新たな対策を講じていく。

ユーザーとしてとれる対策は、なるべく新しい端末を使い、最新のOSに更新し続ける、ということのようだ。

ただ、ジャーナリスト、人権活動家、政治家、政府関係者、弁護士など、標的となり得る職業についているのなら、一層の警戒が必要なのかもしれない。


以上転載

うちのiPhone6sも14.7になりましたよ。



勉強用に買った中古で使いもしていないけれど、まさか現役で使えるとは…。
Androidも見習ってほしい!
ブログ一覧
Posted at 2021/07/27 01:28:41

イイね!0件



今、あなたにおすすめ

ブログ人気記事

今日はスイスポだけ洗車して田所(* ...
zx11momoさん

劇場版「鬼滅の刃」無限城編 第一章 ...
こうた with プレッサさん

8/15(金)今朝の一曲🎶Ne- ...
P・BLUEさん

10年7ヶ月🚗³₃
まこっちゃん◎さん

昨日から自分だけお仕事再開。
ベイサさん

再び、この世界の片隅に。。。
avot-kunさん

この記事へのコメント

2021年7月27日 22:32
既にiOS14.7.1が出てますね。
14.7のリリース時に公表されていた問題の解決のみのようですが、今アップデートすると14.7.1になるようです。
Apple WatchとTouch ID搭載iPhoneを組み合わせて使われている方以外は、14.7のままでも問題ないですね。
もちろん、iPhone自身を使われていない方には影響ありません(^^;。
https://sbapp.net/appnews/app/upinfo/ios14/update-henkouten-fuguai-36-2-130003
コメントへの返答
2021年7月30日 11:37
勉強用のiphoneを今アップデートかけました。
アンドロイドももう少しやってくれるといいんですけどね。
iOSはiphoneしかないから柔軟にできるというのがメリットですね。
かみさんにも教えておかないと!

プロフィール

「@ふぇあ 当たりでしたねー。うちの近所はハズレでした。残念ー」
何シテル?   08/10 11:18
youji721005です。ゆーじと呼んでください。2021年11月からカローラツーリング アクティブライドに乗り換えました。2013年3月より乗っていたインプ...

ハイタッチ!drive

みんカラ新規会員登録

ユーザー内検索

<< 2025/8 >>

      1 2
3456789
10111213141516
17181920212223
24252627282930
31      

リンク・クリップ

早速(^^)v 
カテゴリ:その他(カテゴリ未設定)
2025/07/22 12:17:59
トヨタ(純正) ピラー 
カテゴリ:その他(カテゴリ未設定)
2025/04/06 19:46:28
日本で最大のカローラの集い 
カテゴリ:その他(カテゴリ未設定)
2025/01/29 20:34:49

愛車一覧

トヨタ カローラツーリング かろつー (トヨタ カローラツーリング)
2021年11月6日納車。 【カローラツーリングアクティブライド】 アーバンカーキ×ブラ ...
その他 自転車 ジャイアント R3 2008年モデル (その他 自転車)
2008年に購入し通勤に使っていた。仕様としてほぼR3 SEモデルに近いオプション。引っ ...
アメリカその他 その他 るんば6号 (アメリカその他 その他)
iRoto Roomba 560改 並行輸入モデルの560で日本仕様だと570相当のもの ...
アメリカその他 その他 るんば4号 (アメリカその他 その他)
iRoto Roomba 532 おそらく日本でルンバの名前を聞いたのは皆さんこの50 ...
ヘルプ利用規約サイトマップ

あなたの愛車、今いくら?

複数社の査定額を比較して愛車の最高額を調べよう!

あなたの愛車、今いくら?
メーカー
モデル
年式
走行距離(km)
© LY Corporation