近年では、 商用スパイウェアは、より多くの攻撃者によって、より広範囲の被害者に対して導入されるようになりましたが、このマルウェアは極めて少数の人に対する標的型攻撃に使用されているというのが依然として有力な説です。しかし同時に、デバイスの感染をチェックすることは困難であり、個人は、モバイル スパイウェアを検出するためのフォレンジック技術開発の最前線に立っている学術機関や NGO をその場限りで行き来することになっています。火曜日、モバイル デバイス セキュリティ会社 iVerify は、 調査結果の出版 5月に開始したスパイウェア検出機能から。同社の顧客が検査のために提出することを選択した 2,500 件のデバイス スキャンのうち、7 件で Pegasus として知られる悪名高い NSO グループ マルウェアによる感染が明らかになりました。
同社の「モバイル脅威ハンティング」機能は、マルウェア シグネチャ ベースの検出、ヒューリスティック、機械学習を組み合わせて、iOS および Android デバイスのアクティビティの異常やスパイウェア感染の明らかな兆候を探します。有料の iVerify 顧客の場合、このツールはデバイスに侵害の可能性がないか定期的にチェックします。しかし同社は、iVerify Basics アプリを 1 ドルでダウンロードした人向けに、この機能の無料版も提供しています。これらのユーザーは、特別な診断ユーティリティ ファイルを生成して iVerify に送信し、数時間以内に分析を受け取る手順を実行できます。無料ユーザーは月に 1 回ツールを使用できます。 iVerify のインフラストラクチャはプライバシーを保護するように構築されていますが、モバイル脅威ハンティング機能を実行するには、ユーザーは電子メール アドレスを入力する必要があります。これにより、最近の 7 件のペガサス発見事件のように、スキャンでスパイウェアが検出された場合に会社が連絡できるようになります。 。
「本当に興味深いのは、標的となったのはジャーナリストや活動家だけではなく、ビジネスリーダー、営利企業の経営者、政府の地位にある人々だったということです」と、iVerify の最高執行責任者で元米国家安全保障局のロッキー・コール氏は言う。アナリスト。 「これは、活動家をターゲットにするために傭兵スパイウェアが悪用されているというこれまでの報道よりも、平均的なマルウェアや平均的な APT グループのターゲット プロファイルによく似ています。それは間違いなくそうなっているが、社会のこのような断面図を見つけたのは驚くべきことだった。」
2,500 回のスキャンのうち 7 回というのは、特にスパイウェアを特にチェックするのではなく、モバイル デバイスのセキュリティをまったく監視したいと考えている、有料か無料かにかかわらず、iVerify ユーザーというやや自己選択的な顧客ベースでは、少数のグループのように聞こえるかもしれません。しかし、このツールがすでに少数の感染を発見しているという事実は、スパイウェアの使用が世界中でいかに広く普及しているかを物語っています。スパイウェアの侵害を診断するための簡単なツールがあれば、そのようなマルウェアがどのくらいの頻度で使用されているかの全体像が広がる可能性があります。
iVerifyによると、AndroidなどのモバイルOS、特にiOSは従来のデスクトップOSに比べてロックダウンが厳しく、監視ソフトウェアがシステムの中心部のカーネルにアクセスできないため、検出ツールの開発には多額の投資がかかったという。コール氏は、重要な洞察は、カーネルにできるだけ近いところから取得したテレメトリを使用して、検出用に機械学習モデルを調整することであったと述べています。 Pegasus などの一部のスパイウェアには、フラグを立てやすくする特徴があります。 7 件の検出では、Mobile Threat Hunting が診断データ、シャットダウン ログ、クラッシュ ログを使用して Pegasus を捕捉しました。しかし、課題は、誤検知を減らすためにモバイル監視ツールを改良することだとコール氏は言う。
ただし、検出機能の開発はすでに非常に価値があります。コール氏は、iVerify が事件の標的となった弁護士でシーク教徒の政治活動家グルパットワント・シン・パヌン氏のスマートフォンに侵入した兆候を特定するのに役立った、と述べた。 暗殺計画が失敗したとされる ニューヨーク市のインド政府職員による。また、モバイル脅威ハンティング機能は、大統領選挙中に、ハリスワルツ陣営幹部 2 名(陣営幹部と IT 部門メンバー)のモバイル デバイス上で国家活動が行われている疑いがあることを警告しました。
「iPhone や Android スマートフォンが箱から出したら安全だと考える時代は終わりました」とコール氏は言います。 「携帯電話にスパイウェアがインストールされているかどうかを知る機能は、まだ普及していませんでした。技術的な障壁があり、多くの人が取り残されていました。携帯電話が商用スパイウェアに感染しているかどうかを知ることができるようになりました。そしてその割合は一般的な説よりもはるかに高い。」
