成りすましメールを閲覧しただけで、スマホが、凶悪スパイウェアに感染して、スマホ上の全データを収集される

【投稿者コメント】


【キーワード】

[対策はスマホ使わぬ事]、[被害最小化常時電源断]、[連絡は固定電話を使う]


【件名】

「もはや、「メールのURLや添付ファイルをクリックしない限り、安全だ!」とは云えない!/「攻撃メール=成りすましメール」を閲覧しただけで、スマホが、凶悪スパイウェアに感染して、スマホ上の全データを収集される!/メッセージ、通話、写真、電子メールを抽出したり、秘密裏にカメラやマイクを有効化したり、Telegramなどの暗号化メッセージを閲覧出来る」


【投稿本文】


 今までは、「メールのURLや添付ファイルをクリックしない限り、安全だ」とされていたが、下記の【以下転載1】や【以下転載2】の報告に依れば、「攻撃メール=成りすましメール」を閲覧しただけで、スマホが、凶悪スパイウェアに感染して、スマホ上の全データを収集されてしまう!

 被害者は、感染した事に気づかずに、スマホ(iPhoneAndroid)のメッセージ、通話、写真、電子メールを吸い取られて、秘密裏に、カメラやマイクを乗っ取って、監視したり、GPSで居所をつかんだりと、攻撃者に、ほぼ丸裸にされてしまう!

 被害者は、マスコミ関係者だけでなく、一国の大統領、首相、大臣、国会議員までに及んでいたと云うから、まさに、諜報活動用のスパイウェアだ!

 独裁者の便利ツールらしく、反対勢力の監視用・暗殺用ツールとして使用された例も多いと云う!

 プーチンプリゴジンスマホスパイウェアを仕込めば、「部下・仲間との連絡」や「誰と面談しているのか」、「その居所」も、リアルタイムで把握出来るから、ヒットマンを送り込んだり、トマホークの標的座標に、居所のGPS座標をセットすれば、プリゴジンがどこに逃げ込もうが、好きな時に、ポン!出来てしまう!

 実際に、サウジの王子が、亡命した記者やその関係者のスマホスパイウェアを仕込んで、その居所を把握して、トルコ/イスタンブールのサウジ大使館に誘って暗殺した事例もあると云う!

 対策としては、よく、「HTMLメールは無効にして、テキストメールで閲覧して、画像ファイル等の添付ファイルは開かない事!」と云われるが、興味を誘う件名のメールを送って来るから、何もクリックせずとも、つい、メールを開いた途端に感染してしまう!

 現状のウィルス対策ソフトの様な、セキュリティツールでは、防ぎようもないから、究極の防御方法は、「スマホは使わぬ事!」しかない!

 重要連絡は、固定電話等のアナログにすれば、通信キャリアの回線乗っ取りは敷居が高いので、幾分かは、安全かも知れない?!

 固定電話機の受話器に、音響カプラを装着して、データ通信を行う、ISDNが復活するかも?!

 被害を最小化するには、「スマホは常時電源OFFとし、使用時のみ、電源ONにして、用済み後は、電源OFFに戻す!」しかない!

 諜報機関員同士の通信では、一般のインターネット回線では、足が付くので、アナログのSDメモリ渡しとか、衛星携帯回線を使用した軍事暗号通信等に依る場合が多いだろう!


【以下転載1】

https://ipsj.ixsq.nii.ac.jp/ej/index.php?active_action=repository_view_main_item_detail&page_id=13&block_id=8&item_id=201498&item_no=1

『コンピュータ・セキュリティ・シンポジウム2019/標的ユーザによるURLアクセスを必要としないインプラントメール攻撃の概念実証』

https://ipsj.ixsq.nii.ac.jp/ej/?action=repository_uri&item_id=201498&file_id=1&file_no=1

File / Name、License
IPSJCSS2019205.pdf、(c) 2019 by the Information Processing Society of Japan

キーワード:標的型攻撃、セキュリティアプライアンスサンドボックス回避
著者所属/著者名:
横浜国立大学大学院環境情報学府/井上 雄太
東京大学大学院情報理工学系研究科/約宇武蓄 陽
横浜国立大学先端科学高等研究院/田辺 瑠偉
横浜国立大学大学院環境情報研究院/先端科学高等研究院/吉岡 克成
横浜国立大学大学院環境情報研究院/先端科学高等研究院/松本 勉

論文抄録:

 近年、検査対象ファイルをサンドボックス内で実行し悪性挙動を検知するセキュリティアプライアンスの導入が進んでいる。

.しかし、標的マシンでのみ不正活動を行い、他の環境では、無害を装うマルウェアに依る検知回避が問題となっている。

.先行研究では、事前に送付した電子メールに記載されたURLを標的ユーザにクリックさせる事で、標的マシンのDNSキャッシュやCookieなどに識別子をインプラントし、その後、識別子が存在する環境でのみ動作するマルウェアを送る事で、サンドボックス解析を回避する攻撃の可能性が示されている。

.本研究では、画像が埋め込まれたHTMLメールをWebブラウザで閲覧した時に、キャッシュされる画像データを利用する事で、標的ユーザがHMTLメールを閲覧しただけで、識別子をインプラント出来る事を示す。

 又、メーラが受信メールをマシン内に保存する仕組みを利用する事で、標的ユーザがインプラントメールを受信しただけで、識別子をインプラント出来る事を示す。

 検証実験では、特定のWebブラウザとメールサービスの組合せに於いて、画像キャッシュが識別子として悪用され得る事を確認した。

 更に、特定のメーラに於いて、インプラントメールが識別子として悪用され得る事を確認した。

 これらの攻撃では、標的ユーザがメール内のURLにアクセスしなくとも、インプラントが可能である事から、インプラントメール攻撃の脅威は増大する。

 その為、Webブラウザの画像キャッシュやメーラの受信メールを識別子として悪用されない為の対策が必要である。

書誌レコードID:ISSN 1882-0840
雑誌名:コンピュータセキュリティシンポジウム2019論文集
巻:2019
ページ:1454 - 1461
発行年:2019-10-14


【以下転載2】

https://ja.wikipedia.org/wiki/Pegasus_(スパイウェア)

『Pegasus (スパイウェア)』

・開発元:NSO Group
・対応OS:iOSAndroid
・種別:マルウェア(スパイウェア)
・ライセンス:プロプライエタリ・ライセンス

【解 説】

 Pegasus(ペガサス)とは、イスラエルの企業である「NSO Group」が開発したモバイル端末用のスパイウェアであり、同社の顧客が監視対象を秘密裏に監視する為に使用している。

 人権侵害やプライバシー侵害などが指摘されている。

 このスパイウェアの存在は、Forbidden Stories、アムネスティ・インターナショナルのセキュリティラボを含む17の報道機関などに依る「The Pegasus Project」の調査に依って明らかになった。

概 要:

 Pegasusは、イスラエルの企業である「NSO Group」が開発したモバイル端末をターゲットにしたスパイウェアである。

 2016年8月、人権活動家のiPhoneで発見された。

 2021年に、「The Pegasus Project」に依る調査に依って、実態が明らかになった。

 この調査では、流出した約5万件の電話番号を元に、スマートフォンを解析し、37のスマートフォンで形跡が確認された。

 尚、「NSO Group」は、Pegasusを犯罪やテロへの対策のもので、主権国家の捜査機関や情報機関にのみ販売してるとの事。

The Pegasus Project:

 「The Pegasus Project」は、パリに拠点を置くメディア系NPOの「Forbidden Stories」が中心となり、国際的人権団体のアムネスティ・インターナショナルのセキュリティラボの技術的サポートのもと、合計10カ国、17の報道機関などの80人以上のジャーナリストが参加したプロジェクトで、モバイル端末のフォレンジック調査を通して、スパイウェアの痕跡を特定した。

 プロジェクトに参加したのは、Forbidden Stories、アムネスティ・インターナショナルのセキュリティラボ、The Washington Post、Le Monde、Süddeutsche Zeitung、Die Zeit、The Guardian、Daraj、Direkt36、Le Soir、Knack、Radio France、The Wire、Proceso、Aristegui Noticias、The Organized Crime and Corruption Reporting Project、Haaretz、PBS Frontlineである。

調 査:

 調査は、漏洩した5万件以上の電話番号が記載されたリストをもとに行われた。

 リストには、2016年以降に「NSO Group」の顧客が攻撃対象として特定した人物のもとと見られる電話番号及びその電話番号が選択又は入力された日時が含まれていた。

 Forbidden Storiesとアムネスティ・インターナショナルは、このリストにアクセスし、16の報道機関と共有し、そこから80人以上のジャーナリストによる数ヶ月にわたる調査が行われた。

 リストに記載された電話番号の持ち主を確認したところ、数百人の企業経営者、宗教家、学者、NGO職員、連合関係者及び政府関係者(閣僚、大統領及び首相を含む)が含まれ、又、フィナンシャル・タイムズ、CNN、ニューヨーク・タイムズ、France 24、エコノミストAP通信、ロイターのジャーナリスト180人以上も含まれていた。

 アムネスティは、攻撃が疑われる67台のスマートフォンを調査した。

 その内、23台は感染しており、14台には侵入を試みた形跡が確認された。

 残り30台については、端末の交換などが原因で決定的な証拠は見つからなかった。

 アムネスティは、カナダのトロント大学の研究グループ、Citizen Labに4台のiPhoneのバックアップコピーを共有した。

 Citizen Labは、確かにPegasus感染の兆候が見られる事、アムネスティの調査方法が適切である事を確認した。

Pegasusの性能:

攻撃手法:

 Pegasusは、アプリの脆弱性を利用したり、ターゲットを騙して悪意あるリンクをクリックさせる事で、モバイル端末にインストールされる。

 又、iMessageの脆弱性を悪用して、ゼロクリック攻撃(ターゲットに依る操作なしに実行可能な攻撃)された事例が確認されている。

感染後:

 端末がPegasusに感染すると、攻撃者は理論上端末のあらゆるデータを収集出来る。

 攻撃者は、メッセージ、通話、写真、電子メールを抽出したり、秘密裏にカメラやマイクを有効化したり、WhatsApp、Telegram、Signalなどの暗号化メッセージアプリのメッセージを閲覧出来る。

関連番組:

・追跡“ペガサス”スマホに潜むスパイ_前編:標的にされた人々(2023年、NHK)
・追跡“ペガサス”スマホに潜むスパイ_後編:調査報道の結末(2023年、NHK)