ハクソク

世界を動かす技術を、日本語で。

iOS 26アップデートで削除された「Pegasus」と「Predator」スパイウェアの主要IOC

213日前原文(iverify.io)

概要

  • iOS 26shutdown.log の管理方法が変更され、スパイウェア感染の証拠が消去される問題
  • PegasusPredator などの高度なスパイウェア検出が困難化
  • shutdown.log は従来、感染の重要な指標として活用
  • iOS 26以降、再起動ごとにshutdown.logが上書きされ、過去の証拠が消失
  • アップデート前の sysdiagnose保存 が推奨

iOS 26でのshutdown.log消去問題とフォレンジックへの影響

  • iOS 26 のリリースにより shutdown.log の扱いが大幅に変更
  • 再起動のたびに shutdown.log が完全に上書きされる仕様
  • これにより、 PegasusPredator 感染の痕跡が消去されるリスク
  • フォレンジック調査や感染判定の難易度が大幅に上昇
  • スパイウェア攻撃が増加傾向にある中での重大な課題

shutdown.logの重要性と従来の検出手法

  • shutdown.log はiOSデバイスのシャットダウン時の挙動を記録する重要ログ
  • Sysdiagnose 内の Unified Logs に格納されている
  • 2021年には Pegasus の痕跡がshutdown.log内で確認可能
  • 2022年以降、Pegasus開発者はログを消去する手法に進化
  • ログ消去自体や痕跡の残存が感染の指標(IOC)として利用

PegasusとPredatorの回避手法の進化

  • Pegasus は2022年以降、shutdown.logの完全消去を実施
  • それでも微細な痕跡や消去パターンが感染判定のヒューリスティックに
  • Predator もshutdown.logを監視し、類似の痕跡を残す傾向
  • ログの消去や異常な挙動がIOCとして注目

iOS 26での新たな課題

  • iOS 26ではshutdown.logが 毎回上書き される仕様に変更
  • 過去のログが保持されず、感染の証拠が自動的に消去
  • システム衛生やパフォーマンス向上が目的と推測されるが、 フォレンジック上は大きな損失
  • スパイウェア標的が著名人や経営者にも拡大する中で、時期的にも深刻

旧バージョンでのIOCと検出ポイント

  • iOS 26未満では /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking のshutdown.log内出現がPegasus 2022のIOC
  • NSO Groupは検出を難しくするため、通常のプロセス名を悪用
  • iOS 18以前では containermanagerd ログとshutdown.logの突合で詳細な検出が可能
  • ブートイベントとシャットダウンログの不一致が隠蔽活動のシグナル

アップデート前の推奨対応

  • iOS 26へのアップデート前に sysdiagnose を取得・保存
  • 現在のshutdown.logと感染証拠を保全
  • Appleがshutdown.log上書き問題を修正するまでアップデートを控える選択肢
  • フォレンジック観点からの証拠保全が重要

まとめ:今後のリスクと注意点

  • iOS 26の仕様変更は 高度なスパイウェア検出の障壁
  • shutdown.logの証拠消失は個人・組織のセキュリティに直結
  • Appleの対応やアップデート内容に注視しつつ、 証拠保全 を最優先
  • スパイウェア攻撃増加の現状を踏まえた慎重な運用が求められる

Hackerたちの意見

記事では「IOC」の定義がされてないから、もし僕みたいにこの略語がわからなかった人のために言うと、Indicators Of Compromiseのことだよ。(実際、記事の中では最初にそのフルフォームを使ってるけど、括弧なしでね。)もしかしたら僕以外はみんな知ってるかもしれないけど、誰かの役に立てばいいなと思って!

ありがとう。僕が知っている唯一のIOCは、国際オリンピック委員会だよ。

これありがとう!略語や頭字語は、明確に定義されてないとすごく非効率的だし、知ってる人と知らない人の間に壁を作っちゃうよね。「ISO」が「in search of」の代わりに突然FacebookやNextdoorに溢れ出したのを見て、本当に嫌だった。もしそれを知らなかったら、今は知ってるけど、国際標準化機構のことじゃないのに、ギリシャ語の背景がないと誰もが魔法のように推測できるわけじゃないからね。(ISOは、略語が言語ごとに異なるから、実はisosから来てるって説明してる。isosは「等しい」という意味。組織名とほぼ一致するのは幸運だけど、時間が経つにつれて不明瞭になったり、歴史が失われたりする可能性もある。)うちの会社では、一般の人が合理的に推測できる略語しか作らないってはっきり言ってるし、他のものと混同しないようにもしてるよ。

http://lmgtfy2.com/?q=ioc+security

アメリカ軍もIOCを使ってるよね=「初期運用能力」(FOC:完全運用能力とは区別される):https://samm.dsca.mil/glossary/initial-operational-capabilit...

ありがとう!その文脈でIOCが何の略か全然わからなかったけど、定義を教えてもらえて助かったよ。他のHNのディスカッションでは、略語の意味を尋ねる人に対して、最初に使った後に記事を参照することを提案する分裂的なゲートキーピングトロールが定期的に現れるんだ。彼らは、略語を定義することに対して不可解に、そして激しく反対して、みんなが既に知っているべきだって主張して、知らない人を批判するんだよ。彼らは議論から排除されるべきだと思ってるのかな?その考え方が理解できないけど、アクセシビリティやユーザビリティ、多様性、平等、包括性についていつも文句を言ってるトロールたちと大きな重なりがある気がする。共感を弱さと見なすのも同じ排除的な考え方だよね。アンチアクセシビリティのトロールたちは、早く死ぬ「幸運」に恵まれない限り、誰もがアクセシビリティと包括的なインターフェースデザインの恩恵を受けることを理解できないなんて、本当に愚かで目先が短い(言葉遊び)。編集: あ、彼らの一人が現れて、何度も行ったり来たりして議論してるみたいで、略語を最初に定義してさっさと進むのに比べて、何倍も多くの言葉と無関係なノイズを使ってるね。自分の循環論を台無しにしてるよ。なんて無駄なことを!riehwvfbkの提案が好きだな:「専門家の劇場」。でも、riehwvfbkって何の略なんだ? ;)

ユニークなTLA(3文字の略語)は17,576個しかないよ。

ずっと、Appleの内部にいる誰かが、これらの電話をイスラエルのハッカーに対して脆弱なままにしているか、バグを本当に修正していないんじゃないかと思ってた。

可能性はあるけど、iPhoneはAppleのフラッグシップ製品だからね。これが失敗したら大変なことになると思う。政府の契約がそのコストに見合うとは思えない。彼らはGoogleやMicrosoftじゃないし、企業向けにはそんなに大きくない。もしそんな関係が公になったら、ほとんどのアメリカ人は数週間で忘れてしまうだろうし、半分は何が大騒ぎなのか驚くと思う。でもAppleは、競争が激しいアジアやヨーロッパで損失を被ることになる。彼らのハードウェアが主力商品だからね。Appleがそんなに愚かな決断をするよりも、アメリカ政府がAppleで働く開発者を使って情報を得たり脅したりした方がもっと現実的だと思う。GoogleやMicrosoftについては、確信してるけど…ちょっと脱線しちゃったね、最近ティム・クックが比喩的に王様の指輪にキスしてるのを見てたから。寄付は一つのことだけど、国営テレビで金の贈り物を手渡すのは別の話だよね。

彼らが脱獄を狙う人たちのために脆弱なままにしていることを願ってる。

イスラエル人が関わると、研究開発の組織が突然、完全に秘密裏に動く悪の組織になるのがすごいよね。/s

もしこれを知らなかったら、Appleのプライバシー企業としての以前の立ち位置は、実際には何の信念もないブランディングに過ぎなかったってことだよね。今、ICEが暗号化アプリをバイパスするゼロクリックスパイウェアのためにParagonと契約しているのと同じように、Appleは国家が支援するモバイル監視を検出するための重要な法医学的証拠を消し去ってる。クックの現金と金を関税免除のために交換する計画と合わせて、彼らは他の大手テック企業と一緒に底辺に向かって突き進んでる。

Appleがこれらのスパイウェア企業からiPhoneを守ることに失敗し続けると考えてもいいのかな?

Appleがプライバシー企業としての立ち位置を取っていたのは、実際には全くのブランド戦略だったよ。10年前にそこで働いていた者として言うけど、当時の人たちの態度や考え方とは全然違う。多くの人がAppleで長く働く傾向があるし、今はどうなっているかはわからないけど、これは簡単に言えば、遅れて導入されたバグかもしれない。誰かが気づいたように、以前のベータ版にはなかったし、そんな変更は早い段階で現れるはずだと思う。こんな些細なことが政府の要請で遅れて導入されたなんて、すごく驚くよ。Appleは歴史的にそんな風には行動しないからね(FBIのためにiPhoneのロックを解除する件を見てみて)。

それは最初からあったよ。Appleは、虚偽のプライバシー保護を約束したり、修理不可能だと言ったり、エコフレンドリーだと嘘をついたりする、だましのマーケティングが得意なんだ。Appleユーザーは非常に naïve で、バカで、Appleの不正で明らかな操作行為を否定して生きるのが好きなんだよ。もしあなたが高いターゲットで、より良いプライバシーとセキュリティが必要なら、GrapheneOSが約束通りのすべてを提供する最良の選択肢だよ。

iPhoneの法医学がバックアップアーカイブを通じて行われるなんて、ほんとに馬鹿げてると思う。もしAppleがバックアップと一緒にシステムメモリの完全ダンプを含めてくれたら、もっと良いのに。macOSのようにEL1+でセキュリティモニタリングができるシステム拡張を許可してくれたらいいのに。

もしAppleがバックアップと一緒にフルシステムメモリダンプも含めてくれたら、もっと良かったんじゃないかな。そうすれば、みんなが脆弱性を見つけやすくなるし、Appleにとっても重要なことだよね?それによって、電話をルート化するための脆弱性が見つかるかもしれないし、Appleはそれを防ぐのに必死みたいだし。

iPhoneのフォレンジックがバックアップアーカイブを通じて行われるなんて、ほんとに馬鹿げてると思う。なんで誰かがメモリ内のエクスプロイトを邪魔したいと思うんだ?/s

私は脆弱性研究をしているんだけど、それらのことはあなたが目指していることとは正反対の結果をもたらすよ。特に権限の高いレベルに何かを読み込むことができるのは、傭兵スパイウェア会社に喜ばれるだろうね。

CCCでiVerifyの社員による良いトークがあって、AppleがmacOSのようなEDRメカニズムをiOSにも公開するように提唱してたんだ。

著者は、Appleがスパイウェアを隠そうとした意図的な試みだとは思ってないみたいだね。> 「Appleがこの問題に対処するまで、iOS 26へのアップデートは控えた方がいいかも。理想的には、起動時にshutdown.logが上書きされないようにするバグ修正をリリースしてほしい。」

shutdown.logを消去するのもAppleのセキュリティ対策だと思う。攻撃者はそれを使ってクラッシュ条件やデバイスの挙動を理解しやすくなるからね。とはいえ、Appleのプライバシーに対するスタンスを真剣に受け止めるなら、ユーザーも自分のデバイスを深く検査できるべきだよね。結局、自分のものなんだから。

shutdown.logを読むために必要な権限と、実行中のプログラムを見るために必要な権限って何が違うの?Appleはいつも物事を隠そうとして、ユーザーがデバイスの動作を理解できないようにしてる。プライバシーを口実にして、ちゃんと調べようとする人を訴えたり、刑務所に入れたりもするし。

「結局、自分のものなんだから。」デバイスを持ってるからって、メーカーが自分の欲しい機能を追加する義務があるわけじゃないよ。

研究中に攻撃者がデバイスをルート化して、shutdown.logよりもさらに良いクラッシュ条件を見つけることになるだろうね。99.999%のユーザーはルート化しないから、これはユーザーをターゲットにしてるってことだ。

この変更はiOS26のベータ版にはなかったから、Appleが早く修正してくれるといいな。https://www.youtube.com/watch?v=PHijS6jLPxI&t=304s > 「iOSデバイスのセキュリティが気になるなら、毎日再起動して、shutdown.logファイルに実行中のプロセスのリストを書き込んでおくべきだよ。実行すべきでないプロセスがあれば、それもshutdown.logに書き込まれるから、過去に遡ってIOCをチェックできる。」

規模が大きくなると、どんな小さな修正も誰かにとってはスペースバーのヒーターみたいなもんだね。AppleはiVerifyの人たちをなだめるためにこれを戻すと思うけど、長期的にはこういう変更を続けて、傭兵スパイウェアは自分を隠すのが上手くなるだろうね。法医学的な証拠を超えた戦略を考える時期だと思う。

Appleは、PegasusやPredatorがiOSで非常に広く公表されたエクスプロイトだから、これを戻してくるんじゃないかな。これらがどうやって特定されるかをAppleがコントロールしていないのは短視眼的だと思う。「あなたのiPhoneは安全でプライベート」という前提がブラックボックスになっていて、Fruitcorpの「正しいことをしている」という保証しかないのもイライラするよ。だから、iOS26でいろんなバグが見つかると想像してみて…これらのバグやグリッチがセキュリティ機能にも影響していないとどうやって信じられるの?

Appleサポートフォーラムの高ランクのメンバーから、ログを見るなって何度も言われたよ。ログを見るのは統合失調症の人やバカだけだってさ。経験豊富なAppleの開発者もログは見ないって言われた。これでAppleサポート、特にApple Storeで働いてる「天才」たちについてすべてを疑問に思うようになったよ。

  • IOCはクリアされたシャットダウンログだ。 - アップデートで、今は毎回のブートでシャットダウンログがクリアされる。 > これにより、クリアされたshutdown.logが疑わしいデバイスを特定するための良いヒューリスティックとして機能する可能性があるという結論に至った。 > iOS 26では、Appleが意図的な設計変更か予期しないバグを導入して、シャットダウンログがデバイスの再起動のたびに新しいエントリーで追加されるのではなく、上書きされるようになった。このため、iOS 26にアップデートしてデバイスを再起動すると、以前のPegasusやPredatorの検出の証拠がすべて消えてしまうことになる。