Pegasusスパイウェアが再び登場

iOS 14.8の最近の更新で、すべてのモバイルiOSデバイスに影響する脆弱性のゼロデイ、ゼロクリックエクスプロイトが修正されました。FORCEDENTRY（CVE-2021-30860）と名付けられたこの欠陥は、AppleのiMessageに存在し、The Citizen Labのレポートによると、2021年2月にまで遡って、NSOグループのスパイウェアPegasusをモバイルiOSデバイスにプッシュするために使用されていました。 

Pegasusは数年前から存在していましたが、最近The Citizen Labとアムネスティ・インターナショナルが、ジャーナリストやアクティビストなどをターゲットにしたスパイウェアについて報告したことで、再び注目を集めています。

FORCEDENTRYについて懸念すべき点の1つは、ユーザーによる操作を必要としないいわゆるゼロクリック攻撃に利用できることです。この欠陥を利用した攻撃者は、デバイスのApple IDさえあれば、密かにデバイスを侵害することができます。

この投稿では、Pegasus脅威について現在わかっていること、どのくらい一般的なのか、Broadcom Softwareの一事業部であるシマンテックがどのようにしてこのスパイウェアからお客様の安全を守っているかについて述べていきます。

Pegasus脅威

イスラエルのサイバー武器制作会社NSO Groupが開発したPegasusは、数年前から使用されてきた高度で検知しにくいモバイルスパイウェアです。Pegasusは、メッセージの読み取り、通話の追跡、デバイスの位置情報の追跡、パスワードの収集、そして標的デバイスのマイクとカメラへのアクセスを行うことができます。 

NSO Groupによると、Pegasusは犯罪およびテロとの戦いや公共の安全を維持するために、国家や法執行機関に販売されているそうです。この主張にもかかわらず、このソフトウェアの悪用は長年にわたって指摘されてきており、シマンテックは何年も前からPegasusを検知する機能を提供しています。 

最近のレポートで、AppleのiMessageサービスの脆弱性を悪用してPegasusをインストールする攻撃が見つかったと報告されています。この攻撃では、電子メールや電話番号などのApple IDが必要なだけで、標的となるモバイルデバイスに感染します。

この攻撃のペイロードは、ユーザーから「隠された」iMessageフィールドを利用します。実際、iMessageのテキストフィールドが空白の場合、アラートや通知はまったく表示されません。この種のiMessageゼロクリック攻撃はiOS 11の時代に登場し、GoogleのProject Zeroチームによって調査されました。

ペイロードは、悪意を持って作成されたPDFを送信することでPDFプロセッサを悪用し、任意のコード実行を実現するなど、iMessageフレームワークの脆弱性を利用しています（iOS 14.8のアップデートで修正されました）。さらに、この攻撃の実行はすべてiMessageフレームワークのサンドボックスプロセス内で行われ、デバイスの再起動時に消去されます。 

どの程度一般的な脅威なのか 

言うまでもなく、Pegasusの脅威の範囲を測定することは困難です。FORCEDENTRY攻撃が残した一番の手がかりは、FORCEDENTRYがPegasusスパイウェアのフレームワークファイルをダウンロードしようとする際に発生するWebトラフィックです。

アムネスティ・インターナショナルのレポートには、既知のPegasus感染のURLが記載されています。シマンテックは、そのリストをSymantec Endpoint Protection Mobileで疑わしいWebトラフィックを識別してブロックするために使用されるSymantec WebPulseのURLレピュテーションサービスと照合しました。その結果、150,000台のiOSデバイスのうち1台が、既知のPegasus感染URLにアクセスしようとしていることがわかりました。この数字は低いと思われるかもしれませんが、これはキルチェーンの一部分に過ぎず、既知の感染URLのリストは決して網羅的ではありません。

いずれにしても、Symantec WebPulseは、URLを潜在的なリスクや悪意のあるものとして識別し、ゼロデイエクスプロイトが含まれていても、ユーザーのクリック数がゼロであっても、感染とキルチェーンを完全に止めることができました。 

シマンテックはどのように問題を解決しているのか  

Symantec Endpoint Protection Mobileは、SMSメッセージに含まれるリンクを分析し、URL（ユーザーに隠されている可能性があるものも含む）をSymantec Global Intelligence Networkの一部であるSymantec WebPulseの脅威インテリジェンスと照合することで、ユーザーを攻撃から守ります。

Symantec Endpoint Protection Mobileは、ネットワークコンテンツの脅威に対する保護を提供し、Pegasusのキャンペーンで使用されている既知のコマンドアンドコントロール（C&C）サーバーへの通信をフィルタリングおよびブロックします（WebPulseのグローバルURLインテリジェンス情報は、Windows版とMac版のどちらのSymantec Endpoint Protectionエージェントにも組み込まれています）。また、脆弱なiOSデバイスやAndroidデバイスを特定して保護することができます。対象範囲の詳細については、シマンテックセキュリティセンターのPegasusスパイウェアに関するProtection Bulletinを参照してください。 

FORCEDENTRYに対するパッチは、MacOS、iOS、iPadOS、およびwatchOS版がそれぞれ用意されています。ユーザーはこれらのパッチを早急に適用することをお勧めします。

まとめ

Appleは、iOS 14.8のアップデートでFORCEDENTRYの脆弱性に迅速に対応しました。しかし、iMessageフレームワークが脅威ハンターの標的になることが多くなっているため、今後も多くの修正が行われることが予想されます。また、iOSデバイスを標的とした攻撃の数は、Pegasusが使用したのと同様の攻撃パターンになると予想しています。残念ながら、攻撃のペイロードとキルチェーンの可視性が限られているため、攻撃者が検知を簡単に回避できる状況です。 

これらのことから、モバイルデバイスを標的とした既知および未知の（ゼロデイ）攻撃を防ぐためには、多層ネットワーク防御戦略の一部としてモバイルエンドポイント保護を行うことがいかに重要であるかが明らかになりました。