ハクソク

世界を動かす技術を、日本語で。

Apple、開発者に対し、彼のiPhoneが政府のスパイウェアの標的にされたことを通知

216日前原文(techcrunch.com)

概要

  • 元Trenchant開発者がAppleから スパイウェア攻撃通知 を受け取った事例。
  • Gibson氏は iOSゼロデイ開発者 であり、攻撃者側が標的になった初の記録。
  • 同様の通知を受けた 他の開発者も複数存在 することが判明。
  • Gibson氏は 社内リーク疑惑で解雇 され、スケープゴートと主張。
  • ゼロデイ・スパイウェアの拡散が 新たな被害者層 を生み出している現状。

開発者がスパイウェア攻撃の標的となる事例

  • 2024年初頭、元Trenchant開発者の Jay Gibson 氏がAppleから「 傭兵型スパイウェア攻撃」の警告通知を受信
  • Gibson氏は iOSゼロデイ脆弱性の研究開発者 であり、攻撃側の技術者が標的となるのは異例
  • 通知後、Gibson氏は 端末を即座に停止・新端末購入、家族に連絡する混乱状態
  • Appleの通知は、 証拠に基づき標的型スパイウェア攻撃 を受けた場合に限定送信
  • Gibson氏以外にも、 同業の開発者が同様の通知を受けた と複数の情報源が証言

スパイウェアとゼロデイ開発者の新たなリスク

  • ゼロデイ・スパイウェア開発者は、 従来は政府や法執行機関向け にツールを提供
  • Citizen LabやAmnesty International等の調査で、 実際には活動家・記者・政治家も標的 となる事例が多数判明
  • 2021年・2023年には 北朝鮮政府系ハッカーがセキュリティ研究者を標的 にした事件も発生

Gibson氏の解雇と社内リーク疑惑

  • Apple通知の2日前、Gibson氏は スパイウェア調査の専門家に端末を分析依頼
    • 初期調査で感染痕跡は発見されず、 詳細なフォレンジック分析を推奨
    • Gibson氏は 端末全体のバックアップ提出を拒否
  • Gibson氏は Trenchant社内の内部ツール漏洩事件 のスケープゴートにされたと主張
  • 会社側は Chrome用ゼロデイの漏洩 を疑ったが、Gibson氏及び同僚は iOSチーム所属でChrome関連アクセス権なし と証言
  • Gibson氏は 「何もやっていない。私はスケープゴートだ」 と強調

社内調査と解雇までの経緯

  • Gibson氏は ロンドンオフィスのチームビルディング名目で呼び出し
    • 到着直後、 ビデオ通話でGMのPeter Williams氏から二重雇用疑惑で停職通告
    • 会社支給端末は全て押収・調査対象に
  • 約2週間後、 Williams氏から解雇と和解金提示
    • フォレンジックの結果説明はなく、 合意書への署名を強制
    • Gibson氏は「 選択肢がなかった」と述懐
  • 元同僚3名が Gibson氏の主張を裏付ける証言、Trenchant側の判断ミスと指摘

ゼロデイ・スパイウェア業界の今後の課題

  • ゼロデイ・スパイウェアの拡大 が、開発者自身や無関係な個人まで被害者を拡大
  • 法執行機関以外による不正利用のリスク
  • 調査の難航、感染証拠の発見が困難化
  • 開発者コミュニティ内での警戒感の高まり

本記事はTechCrunchによる取材をもとに編集。追加情報提供は Lorenzo Franceschi-Bicchierai 氏まで。

Hackerたちの意見

サメと泳いでるんだね…

ギブソンは、最近まで西側政府のハッキングツールメーカーであるトレンチャントの監視技術を開発していたが、彼が自らスパイウェアの標的にされた初の記録されたケースかもしれない。まるでヒョウに顔を食べられた瞬間みたいだね?彼らはこれらのツールを使わないために開発してるわけじゃないから…

記事を読む限り、ギブソンがトレンチャント/L3ハリスを解雇された後の「彼が言った - 彼女が言った」的な内容に聞こえるね。

少なくとも20年は、エクスプロイト開発者はスパイウェアの標的としてかなり悪名高い存在だから、この記事を書いた人は業界について全然知らないんだろうね。

「ヒョウが私の顔を食べた」というネタの参考: https://knowyourmeme.com/memes/leopards-eating-peoples-faces...

「パニックになってた」と、報復を恐れて本名を使わないように頼んだジェイ・ギブソンがTechCrunchに語った。そして後に、> ギブソンの電話の完全なフォレンジック分析がなければ、なぜ彼が標的にされたのか、誰が標的にしたのかは分からない。> でもギブソンはTechCrunchに、Appleから受け取った脅威通知がトレンチャントを辞めた状況に関連していると信じていると言った…面白いのは、(1) この人がこんなことが自分に起こるとは思ってなかったこと、(2) こんなことをメディアに話す勇気があるのに報復を恐れていること。マジで、あなたの本名を知りたい人はもう知ってるよ。

これ、正直言って作り話の匂いが強い。もしくは、その人がかなり控えめなプレイヤーなのかも。一般的に、エクスプロイトを開発するなら、あらゆる攻撃ベクターを完全に把握しているべきだよ。もしTrenchantみたいな会社で働いていて、自分が何をしているか分かっているなら、最後にすることはAppleデバイスを使うこと(少なくともフルに使うのは、ほとんどの場合、公開用の電話ともっと安全なプライベート用の電話を持ってるから)。理由は、Appleの電話を取って、ルーターに接続してトラフィックを検査しようとすると、Appleに送られている大量のデータを見てしまうから。自分のカスタムルート済み、グーグルなしのAndroidフォンを海外に持っていくと、ntpトラフィックしか見えないし、それは時計が狂ってるから証明書の問題を避けるためだけなんだ。

こういう会社(記事に出てる会社じゃないけど)と面接したことがあるけど、オファーをもらった後に彼らが自分に対してエクスプロイトを使ってるのを見たことがある。それがここで起きたことの最も可能性の高い説明だと思う。良心的に再販用のエクスプロイトを開発するなんて無理だよ。もしこれらの会社が自社の従業員に対してエクスプロイトを使うことに何のためらいもないなら、議会のメンバーや裁判所、投資銀行、テクノロジーリーダー、権力を持つ人々に対しても全く問題なく使うだろう。これが、世界で最も権力のある人々を脅迫する能力を与えてるんだ。追記:しかも、彼らが報道されている「意図された使用法」については、反体制派やジャーナリストに対してのことも言及してないしね。

それはひどいね、そんな風に襲われるなんて。具体的にどうなったの? SMSでリンクが送られてきたの、それとも別の方法だったの?

こんなのが良心的に開発されるなんて思えない? 例えば、核拡散防止のための情報活動は、人間の情報が必要でもCNEが必要でも行われるし、CNEの方がコストも低くて害も少ないってこと。君が言いたいことは分かるよ。この技術は、法の支配がある国でもない国でも、ジャーナリストや反体制派を狙うために使われてるからね。本当に心配だよ。私もこんな仕事はしたくないし(そもそも、もう10年以上もそのスキルがないから)、でもNATO諸国のためにこの仕事をすることに抵抗がない人たちには、ちゃんとした理由があるんだ。法執行機関や情報機関に対する私たちの反射的な不信感は、少数派の考え方だよ。多くの家族は、こういう分野で働く人を誇りに思っている。ここで言いたい一番大事なことは、私たちの意見はあまり関係ないってこと。今の市場価格では、世界中のどの国もCNE技術を手に入れられるし、NATO以外のベンダーがしっかりとサービスを提供している市場なんだ。

これらの会社は、基本的にツールの無制限な使用を妨げるような価値観を持つ人をフィルターしてると思う。最悪の場合、「他の人を監視したい」と考える人を引き寄せるかもしれない。それは怖いね。

それは単に面接の一時的なフェーズだったのかもね。

セキュリティ研究者は常に複数のAPTアクターやランダムな個人の標的になると思ってた。でも… > 「彼らが私にオファーを出した後、私に対してエクスプロイトを使っているのを見つけたこともある」 エクスプロイトを自分たちで使う会社だけじゃなくて、サイバーセキュリティの仕事だけでもなく、他の戦略的とされる技術分野の面接を受けている人にもこういうことが起こるって聞いた。目立つものはそれほど微妙じゃなくて、攻撃者が最良の方法を使っていなかったから目立ったのかもしれないけど、もっと低価値のターゲットに対するルーチンなSOPだったのかも。実際にアクターや動機が何だったのかは全く分からない。推測としては、* 採用会社やその国が、候補者をスパイしている(企業や国家の対諜報目的のために)、* 採用会社が競争のオファー状況を監視するためにスパイしている(例えば、候補者が持っている対抗オファーや懸念を知るため)、* 他の国家、個人、あるいは企業のアクターが、差し迫ったオファーでターゲットを監視する価値があると判断した(例えば、彼らが個別に行う研究への事前アクセス、彼らが行う攻撃の知識、雇用を提供する組織や他の組織への技術的な侵入ポイント、またはアクセスや行動を得るための妥協材料)、* 自分たちで行動しているランダムな関連個人が、他人に対する力を楽しんでいる(これは、サイバーセキュリティが専門化される前はあまり珍しくなかった。ティーンエイジャーや疎外された人が多かったから、行動のための色分けされた帽子のガイドラインについて教えられる前だった。今は、スキルを持っているほとんどの人が、魅力的な仕事や研究者としての尊敬される地位を追求できるようになっている)。個人的には、戦略的なターゲットエリアでの仕事は避けるようにしている。なぜなら、無法な権威主義的な機関に無力に侵害されるためではなく、製品コンセプトや信頼できるシステムを形にするために限られた根性を温存したいから。頑張ってね。

だからサイバーセキュリティの仕事はしたくないんだ。危険すぎるし、まるで西部開拓時代みたい。

脅迫なんて忘れなよ。人々は脅迫の価値を過大評価しすぎ。内部情報を得るためにエクスプロイトを使う方が、予測可能で儲かる。特に、好意や賄賂として使って、巨額の金を払う政府に売るのがいい。脅迫は面倒すぎる。賄賂の方がずっと効果的だよ。

彼が(彼らや彼らの大口顧客が)本当に何か漏らしているかどうかを確認しないと思ってるなら、かなりナイーブだよ(笑)。彼らにはそのためのツールがあるし、考えないようにメッセージを送ることもできるからね。

ギブソンは、エクスプロイトやスパイウェアを開発する人が自らスパイウェアの標的にされた初の記録されたケースかもしれない。> でも、元トレンチャントの従業員だけがスパイウェアの標的になったわけじゃない…ここ数ヶ月で他にもスパイウェアやエクスプロイトの開発者がいたから。

その人にちょっと同情するな。昔、私も防衛契約で似たような目に遭ったから。こういう会社は、そこそこ大きな(あるいは信じられないほど大きな)給料と「良い仕事をする」って約束で引き込んで、エネルギーと時間を搾り取って利益を上げたら、最後にはあなたを追い出して、何か問題が起きたら全部あなたのせいにするんだ(特に正直に報告しようとしたら、即座に追い出されてブラックリスト入り)。こんなクズどもに仕事をするべきじゃないけど、残念ながら「良いことをする」や「悪者を捕まえる」っていうナイーブな感覚から、いつも誰かが彼らの詐欺に引っかかるんだ。結局、いつも「ヒョウが私の顔を食べた」ってことなんだよね。

Appleがどうやってこの判断をするのかに興味があるんだ。開発者と前の雇用主とのドラマにはあんまり興味ないけど。

「パニックになってた」と、実名を使わないように頼んだジェイ・ギブソンがTechCrunchに語った。彼の本名を想像して一瞬笑っちゃったけど、ライターは気づいてなかったみたい。

だからサイバーセキュリティの仕事はしたくないんだ。危険すぎるし、まるで西部開拓時代みたい。