世界を動かす技術を、日本語で。

iOS 26アップデートで削除された「Pegasus」と「Predator」スパイウェアの主要IOC

2025年10月25日原文(iverify.io)

概要

  • iOS 26shutdown.log の管理方法が変更され、スパイウェア感染の証拠が消去される問題
  • PegasusPredator などの高度なスパイウェア検出が困難化
  • shutdown.log は従来、感染の重要な指標として活用
  • iOS 26以降、再起動ごとにshutdown.logが上書きされ、過去の証拠が消失
  • アップデート前の sysdiagnose保存 が推奨

iOS 26でのshutdown.log消去問題とフォレンジックへの影響

  • iOS 26 のリリースにより shutdown.log の扱いが大幅に変更
  • 再起動のたびに shutdown.log が完全に上書きされる仕様
  • これにより、 PegasusPredator 感染の痕跡が消去されるリスク
  • フォレンジック調査や感染判定の難易度が大幅に上昇
  • スパイウェア攻撃が増加傾向にある中での重大な課題

shutdown.logの重要性と従来の検出手法

  • shutdown.log はiOSデバイスのシャットダウン時の挙動を記録する重要ログ
  • Sysdiagnose 内の Unified Logs に格納されている
  • 2021年には Pegasus の痕跡がshutdown.log内で確認可能
  • 2022年以降、Pegasus開発者はログを消去する手法に進化
  • ログ消去自体や痕跡の残存が感染の指標(IOC)として利用

PegasusとPredatorの回避手法の進化

  • Pegasus は2022年以降、shutdown.logの完全消去を実施
  • それでも微細な痕跡や消去パターンが感染判定のヒューリスティックに
  • Predator もshutdown.logを監視し、類似の痕跡を残す傾向
  • ログの消去や異常な挙動がIOCとして注目

iOS 26での新たな課題

  • iOS 26ではshutdown.logが 毎回上書き される仕様に変更
  • 過去のログが保持されず、感染の証拠が自動的に消去
  • システム衛生やパフォーマンス向上が目的と推測されるが、 フォレンジック上は大きな損失
  • スパイウェア標的が著名人や経営者にも拡大する中で、時期的にも深刻

旧バージョンでのIOCと検出ポイント

  • iOS 26未満では /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking のshutdown.log内出現がPegasus 2022のIOC
  • NSO Groupは検出を難しくするため、通常のプロセス名を悪用
  • iOS 18以前では containermanagerd ログとshutdown.logの突合で詳細な検出が可能
  • ブートイベントとシャットダウンログの不一致が隠蔽活動のシグナル

アップデート前の推奨対応

  • iOS 26へのアップデート前に sysdiagnose を取得・保存
  • 現在のshutdown.logと感染証拠を保全
  • Appleがshutdown.log上書き問題を修正するまでアップデートを控える選択肢
  • フォレンジック観点からの証拠保全が重要

まとめ:今後のリスクと注意点

  • iOS 26の仕様変更は 高度なスパイウェア検出の障壁
  • shutdown.logの証拠消失は個人・組織のセキュリティに直結
  • Appleの対応やアップデート内容に注視しつつ、 証拠保全 を最優先
  • スパイウェア攻撃増加の現状を踏まえた慎重な運用が求められる

Hackerたちの意見

記事では「IOC」の定義がされてないから、もし僕みたいにこの略語がわからなかった人のために言うと、Indicators Of Compromiseのことだよ。(実際、記事の中では最初にそのフルフォームを使ってるけど、括弧なしでね。)もしかしたら僕以外はみんな知ってるかもしれないけど、誰かの役に立てばいいなと思って!

ありがとう。僕が知っている唯一のIOCは、国際オリンピック委員会だよ。

これありがとう!略語や頭字語は、明確に定義されてないとすごく非効率的だし、知ってる人と知らない人の間に壁を作っちゃうよね。「ISO」が「in search of」の代わりに突然FacebookやNextdoorに溢れ出したのを見て、本当に嫌だった。もしそれを知らなかったら、今は知ってるけど、国際標準化機構のことじゃないのに、ギリシャ語の背景がないと誰もが魔法のように推測できるわけじゃないからね。(ISOは、略語が言語ごとに異なるから、実はisosから来てるって説明してる。isosは「等しい」という意味。組織名とほぼ一致するのは幸運だけど、時間が経つにつれて不明瞭になったり、歴史が失われたりする可能性もある。)うちの会社では、一般の人が合理的に推測できる略語しか作らないってはっきり言ってるし、他のものと混同しないようにもしてるよ。

http://lmgtfy2.com/?q=ioc+security

アメリカ軍もIOCを使ってるよね=「初期運用能力」(FOC:完全運用能力とは区別される):https://samm.dsca.mil/glossary/initial-operational-capabilit...

ありがとう!その文脈でIOCが何の略か全然わからなかったけど、定義を教えてもらえて助かったよ。他のHNのディスカッションでは、略語の意味を尋ねる人に対して、最初に使った後に記事を参照することを提案する分裂的なゲートキーピングトロールが定期的に現れるんだ。彼らは、略語を定義することに対して不可解に、そして激しく反対して、みんなが既に知っているべきだって主張して、知らない人を批判するんだよ。彼らは議論から排除されるべきだと思ってるのかな?その考え方が理解できないけど、アクセシビリティやユーザビリティ、多様性、平等、包括性についていつも文句を言ってるトロールたちと大きな重なりがある気がする。共感を弱さと見なすのも同じ排除的な考え方だよね。アンチアクセシビリティのトロールたちは、早く死ぬ「幸運」に恵まれない限り、誰もがアクセシビリティと包括的なインターフェースデザインの恩恵を受けることを理解できないなんて、本当に愚かで目先が短い(言葉遊び)。編集: あ、彼らの一人が現れて、何度も行ったり来たりして議論してるみたいで、略語を最初に定義してさっさと進むのに比べて、何倍も多くの言葉と無関係なノイズを使ってるね。自分の循環論を台無しにしてるよ。なんて無駄なことを!riehwvfbkの提案が好きだな:「専門家の劇場」。でも、riehwvfbkって何の略なんだ? ;)

ユニークなTLA(3文字の略語)は17,576個しかないよ。

ずっと、Appleの内部にいる誰かが、これらの電話をイスラエルのハッカーに対して脆弱なままにしているか、バグを本当に修正していないんじゃないかと思ってた。

可能性はあるけど、iPhoneはAppleのフラッグシップ製品だからね。これが失敗したら大変なことになると思う。政府の契約がそのコストに見合うとは思えない。彼らはGoogleやMicrosoftじゃないし、企業向けにはそんなに大きくない。もしそんな関係が公になったら、ほとんどのアメリカ人は数週間で忘れてしまうだろうし、半分は何が大騒ぎなのか驚くと思う。でもAppleは、競争が激しいアジアやヨーロッパで損失を被ることになる。彼らのハードウェアが主力商品だからね。Appleがそんなに愚かな決断をするよりも、アメリカ政府がAppleで働く開発者を使って情報を得たり脅したりした方がもっと現実的だと思う。GoogleやMicrosoftについては、確信してるけど…ちょっと脱線しちゃったね、最近ティム・クックが比喩的に王様の指輪にキスしてるのを見てたから。寄付は一つのことだけど、国営テレビで金の贈り物を手渡すのは別の話だよね。

彼らが脱獄を狙う人たちのために脆弱なままにしていることを願ってる。

イスラエル人が関わると、研究開発の組織が突然、完全に秘密裏に動く悪の組織になるのがすごいよね。/s

もしこれを知らなかったら、Appleのプライバシー企業としての以前の立ち位置は、実際には何の信念もないブランディングに過ぎなかったってことだよね。今、ICEが暗号化アプリをバイパスするゼロクリックスパイウェアのためにParagonと契約しているのと同じように、Appleは国家が支援するモバイル監視を検出するための重要な法医学的証拠を消し去ってる。クックの現金と金を関税免除のために交換する計画と合わせて、彼らは他の大手テック企業と一緒に底辺に向かって突き進んでる。

Hacker Newsで議論の続きを見る