2021年7月22日、フランスのニュース専門放送局であるFrance infoは、「プロジェクトペガサス スパイウエアによるデバイスの感染の可能性の後に、マクロン大統領は彼の電話機と電話番号を変更しました」と伝えています。

日本国内でもプロジェクトペガサスの脅威について触れる情報がでてきましたので、簡単にプロジェクトペガサスの脅威とその攻撃手法であるゼロクリック攻撃についてまとめておきます。

スパイウエアペガサスとは

スパイウエア ペガサス(英: pegasus)とは、イスラエルのNSOグループが開発し、世界中の政府を相手にライセンスを供与しているスパイウエアです。

NSOグループ側は、政府機関によるテロリストや犯罪者等の監視を目的としたソフトウエアであるとして販売しているそうですが、今回は、敵国政府の政治家、該当政府に敵対するジャーナリストなどの監視、情報の窃取を目的としてペガサスが利用されました。

ペガサスによる攻撃を仕掛けた側としては、敵国としている政府の政治家、該当政府に敵対するジャーナリストなども国内に潜むテロリストと同じという位置づけでターゲットに設定し、情報収集活動を行っていたということになります。

ペガサスの攻撃手法 ゼロクリック

ペガサスは、「ゼロクリック攻撃」と呼ばれる攻撃手法を用いて、リモートから操作します。

これまで利用されてきたスパイウエアの場合、メールに添付されたスパイウエアやURLをクリック(タップ)することで、ターゲットととなるデバイスに侵入(インストール)しそのデバイスの権限を奪取する手法が用いられてきましたが、ゼロクリック攻撃という手法を用いたペガサスソフトウエアは、特にユーザーによる操作を必要することなく、デバイスの権限を奪取することができます。

ペガサスの攻撃手法はいたって簡単で、ターゲットとなる相手の電話番号をペガサスにインプットし、ターゲットの電話を呼び出すだけでターゲットとなるデバイスを乗っ取ることができてしまいます・・・。これは脅威と呼ぶ他ありません。

相手が電話に出る必要もなく、電話がかかってくるだけで乗っ取りが完了してしまうのが「ゼロクリック攻撃」の最大の特徴なのです。

ゼロクリック攻撃は、ゼロディ・エクスプロイトを利用した攻撃

ゼロクリック攻撃は、ゼロディ・エクスプロイトを利用した攻撃です。

ゼロディ・エクスプロイトとは、その名の通り、ソフトウエアやハードウエアの開発元がプログラムをバグ(欠陥)を認識し、修正プログラムを提供する前に、その脆弱性を利用する攻撃手法のことです。

毎日のように世界中で修正プログラムが配布されていることが、なによりの証となっている訳ですが、ソフトウエアの開発者が100%の純度でバグが混入していないプログラムを開発することはできません。

ましてや、様々なフレームワークを駆使して開発することが常識となっている現代では、必ず、すべてのプログラムには、開発者・開発チームが気が付いていないバグが必ず存在しています。それは、巨人と呼ばれるGoogleでもMicrosoftなどでも同様です。

今回、報道されているスパイウエアペガサスによる被害について、確認しておきましょう。

ペガサスによるフランスサイドの被害とその後

フランスのニュース専門放送局であるFrance infoの記事(外部リンク)によると、フランスでは、マクロン大統領の他、約15人程の大臣と元大臣、2人のジャーナリストがペガサスのターゲットになったと伝えており、一連のスパイウエア「ペガサス」による攻撃に、モロッコが関与していると報じています。

一方で、国際人権団体アムネスティ・インターナショナルが入手した(ターゲットとなったかもしれない)電話番号リストは約5万件に上ると報じられています。

また、BBCなどでは、50か国以上、1000人以上もの人々がペガサスのターゲットとされていたという情報も報じられています。

因みに、ペガサスのスパイウエアを使用していたと名指して批判されたモロッコ政府は、7月22日に名誉棄損で国際人権団体であるアムネスティと今回の件で様々な調査を行った非営利団体であるフォービドゥンストーリーズに対してパリ刑事裁判所に訴状を提出することを決めたそうです。

ペガサスによって抜き取られる情報

ペガサスによって抜き取られる情報(データ)は、どのようなものがあるのかまとめておきます。

結論から先にお伝えすると、”スマートフォンの中に保存されているすべてのデータ”となります。

スマートフォン自体が得ることができる以下はすべてでデータとして抜き取ることができるとされています。

  • SMSでやりとりした情報
  • 連絡先
  • メール
  • 写真・動画
  • 通話の内容(盗聴)
  • チャットした内容
  • カレンダーに保存されている予定
  • スマートフォンに搭載されているマイクが拾う音声
  • スマートフォンに搭載されているカメラに映し出される動画
  • GPSデータ(現在位置情報)

※もちろん、上記以外のデータもターゲットとなります。

まとめ

現時点では、ペガサスのライセンス提供先となっているのは、北アフリカの国以外には中東のいくつかの国に提供されているとされています。政府関係者・ジャーナリスト以外にも当然ながらそのターゲットの枠が広がっている可能性も十分に考えられます。

当然、ペガサスの被害は日本国内にも及んでいる可能性があります。不審な点や気になる接点等などがもしある場合には、対処を含めた行動を検討する必要がありそうです。