The Hacker Newsは2月5日(現地時間)、「Pegasus Spyware Targeted iPhones of Journalists and Activists in Jordan」において、ヨルダンのジャーナリスト、活動家、人権弁護士、市民団体の少なくとも35人のiPhoneが、スパイウェア「Pegasus」の標的になっていると報じた。Pegasusはイスラエルを拠点とする「NSO Group」が開発したスパイウェアで、これまでにも同様の事案が報じられている(参考:「iPhoneを乗っ取るマルウェア「Pegasus」、ロシア人ジャーナリストを攻撃 | TECH+(テックプラス)」)。

  • Pegasus Spyware Targeted iPhones of Journalists and Activists in Jordan

    Pegasus Spyware Targeted iPhones of Journalists and Activists in Jordan

被害の詳細

この攻撃はAccess NowとCitizen Labおよび地元パートナーの共同調査により判明したという(参考:「How Pegasus spyware crushes civic space in Jordan」)。Access Nowは、ヨルダンにおけるPegasusの使用に関して、今回確認された被害者は氷山の一角にすぎず実際はこれ以上だろうと述べ、政府による弾圧の激化を指摘している。

調査報告によると、この攻撃は2019年から2023年9月まで継続し、一部の被害者は複数回にわたり感染したという。これは、特定の標的に的を絞った執拗な攻撃を意味している。Access Nowは身元の公表に応じた13人の被害者について、実名を挙げて被害の実態を公開している。

感染経路

今回の攻撃では「PWNYOURHOME」「FINDMYPWN」「FORCEDENTRY」「BLASTPASS」と呼ばれる複数のiOSの脆弱性が悪用され、ゼロクリック攻撃とワンクリック攻撃の両方が使用されたという。また、WhatsAppやショートメッセージサービス(SMS: Short Message Service)を介して悪意のあるリンクを配布する高度なソーシャルエンジニアリング攻撃も確認されている。

Access Nowによると、ある被害者は報道機関のジャーナリストを名乗る人物からWhatsAppのメッセージを受け取り、ヨルダンの新しいサイバー犯罪法とそれが国内の自由に与える影響について尋ねるというソーシャルエンジニアリング攻撃を受けたという。この会話の中には複数のURLが記載されており、この中に悪意のあるリンクが含まれていたものとみられている。

  • ジャーナリストになりすました人物によるソーシャルエンジニアリング攻撃の例 - 提供:Access Now

    ジャーナリストになりすました人物によるソーシャルエンジニアリング攻撃の例 引用:Access Now

対策

一部の被害者については、iPhoneのロックダウンモードを有効化することで侵害をブロックすることに成功した可能性があると指摘されている。また、Appleの脅威通知を受信したことで侵害に気づき、専門家に調査を依頼した例があるとされる。

今回の攻撃の特徴はソーシャルエンジニアリング攻撃により悪意のあるリンクにアクセスさせることにある。WhatsAppやショートメッセージサービスなど、相手が本人であるかを確認できない場合、会話に挿入されるURLにはアクセスしないことが推奨されている。アクセスを求められた場合は丁重に断るか、または別の安全な手段を用いて会話に必要な情報を収集することが望まれている。